Passwork Blog (Page 10)

Product updates

Latest — Nov 7, 2025

La nueva versión introduce notificaciones personalizables con opciones de entrega flexibles, descripciones mejoradas del registro de eventos, funcionalidad ampliada de CLI, almacenamiento del código PIN en el servidor para la extensión del navegador y la posibilidad de habilitar el cifrado del lado del cliente durante la configuración inicial de Passwork.

Configuración de notificaciones

Se ha añadido una sección dedicada a la configuración de notificaciones donde puede elegir los tipos de notificaciones y los métodos de entrega: en la aplicación o por correo electrónico.

Acceda a la configuración de notificaciones en la sección Notificaciones dentro de Cuenta en el menú de configuración.

La configuración de notificaciones incluye dos pestañas:

Personal — notificaciones sobre sus eventos de autenticación y acciones de otros usuarios que afectan a su cuenta
Registro de actividad — notificaciones sobre eventos seleccionados del registro de actividad. Las notificaciones de eventos relacionados con bóvedas, contraseñas y etiquetas están disponibles para bóvedas con nivel de acceso «Lectura» o superior.

Puede cambiar su correo electrónico de notificaciones en la configuración de Perfil e interfaz

Métodos de entrega de notificaciones

Para cada evento, puede elegir de forma independiente cómo recibir notificaciones o deshabilitarlas por completo.

Utilice las casillas de verificación en las dos columnas a la derecha del nombre del evento:

Icono de campana — notificaciones en la aplicación en la interfaz de Passwork
Icono de sobre — notificaciones por correo electrónico a su dirección especificada

Seleccione las casillas de verificación deseadas. La configuración se aplica de forma independiente para cada tipo de evento.

PIN en la extensión del navegador

El PIN de la extensión ahora se almacena en el servidor como un hash criptográfico. En la configuración de roles, puede establecer un período máximo de inactividad del usuario, tras el cual la extensión solicitará que se vuelva a introducir el PIN, reduciendo la ventana de ataque potencial y protegiendo contra el acceso no autorizado a una sesión ya abierta.

Cómo funciona

Acciones en el primer inicio de sesión de la extensión:

El usuario se autentica en la extensión
Si el PIN es obligatorio para el rol del usuario — aparece un aviso para crear uno
Si el PIN es opcional — el usuario puede habilitarlo voluntariamente para protección adicional

Después de un inicio de sesión exitoso, comienza una sesión de acceso temporal — el usuario trabaja con la extensión sin volver a introducir el PIN. La duración de la sesión depende de la configuración del rol y las preferencias personales. El PIN se solicita nuevamente si el usuario no ha realizado ninguna acción en la extensión durante el período de tiempo establecido.

Si el PIN es obligatorio para el rol del usuario, no se puede deshabilitar

Seguridad

Incluso si alguien obtiene acceso al token de sesión de un usuario, no puede abrir contraseñas en la extensión sin el PIN.

Passwork finaliza automáticamente todas las sesiones cuando:

Se restablece el código PIN
Ocurren tres intentos fallidos de entrada
Se habilita el código PIN obligatorio para el rol del usuario
Se cambia el rol del usuario a uno donde el código PIN es obligatorio

Todas las acciones del código PIN se registran en el Registro de actividad

Modo Zero knowledge

Se añadió una opción para habilitar el cifrado del lado del cliente (modo Zero knowledge) en el asistente de configuración durante la configuración inicial de Passwork. Anteriormente, esto requería ejecutar un script separado o editar el archivo de configuración.

El modo Zero knowledge cifra todos los datos en el lado del cliente, haciendo imposible el descifrado incluso si el servidor se ve comprometido. Cada usuario tiene su propia contraseña maestra que nunca se transmite al servidor.

Obtenga más información sobre el modo Zero knowledge en nuestra documentación

Mejoras

Se añadió una ventana modal de confirmación para cambiar el rol a Propietario y se restringió la capacidad de asignar este rol a usuarios.
Se añadió paginación e indicadores de cambio en la ventana modal de bóvedas ocultas.
Se añadió información de errores y comandos update y get a la utilidad CLI (detalles en la documentación).
Se añadió la capacidad de recuperar códigos TOTP actuales a través de CLI: el comando ahora devuelve un código de un solo uso en lugar de la clave original.
Se mejoró el análisis del panel de seguridad: las entradas con un campo de contraseña vacío ya no caen en la categoría Débil y no se evalúan por complejidad.
Se añadió una opción para limitar la validez del enlace a un día.
Se mejoró la visualización de nombres y nombres de usuario largos en la Gestión de usuarios.
Se mejoró la visualización de elementos inactivos en los menús desplegables.
Se mejoraron las descripciones de eventos en el Registro de actividad.
Se mejoró la importación de datos con grandes cantidades de carpetas.
Se mejoró la localización.

Corrección de errores

Se corrigió un problema donde las carpetas no se creaban durante la importación CSV, causando que las contraseñas se importaran directamente al directorio raíz.
Se corrigió el inicio automático de tareas en segundo plano para cargar grupos, usuarios y sincronización LDAP al guardar cambios en las pestañas Grupos y Sincronización, y al iniciar la sincronización manual en la configuración LDAP.
Se corrigió la visualización de elementos de paginación al cambiar el ancho de la barra lateral.
Se corrigió un problema donde la paginación en Gestión de usuarios podía dejar de funcionar después de usar la barra de búsqueda.
Se corrigió el congelamiento de la ventana de importación al cargar archivos con grandes cantidades de datos y al importar bóvedas que contienen solo carpetas.
Se corrigió un problema en la exportación donde no todas las contraseñas podían exportarse después de seleccionar todos los directorios con la casilla de verificación.
Se corrigió un problema al eliminar masivamente grandes cantidades de carpetas de la Papelera.
Se corrigieron problemas al mover columnas: superposición y extensión más allá del área visible.
Se corrigió el filtrado por creador de invitación: ahora es posible seleccionar secuencialmente diferentes usuarios sin restablecer el filtro.
Se corrigió un problema donde las casillas de verificación en los modales de acceso no se restablecían después de cancelar cambios.
Se corrigió un problema donde aparecía una solicitud de conexión de bóveda al conectar un usuario sin acceso (versión con cifrado del lado del cliente).
Se corrigió un problema donde las opciones de copiar y mover carpeta a otra bóveda no estaban disponibles si el acceso a la carpeta se otorgó a través de un grupo sin acceso al directorio raíz.
Se corrigió un problema donde la opción Mover permanecía disponible para carpetas en directorios con derechos de «Acceso completo».
Se corrigió un problema donde la pestaña activa se restablecía a Usuarios después de actualizar la página de Gestión de usuarios.
Se corrigió un problema en la importación JSON con preservación de estructura donde las contraseñas de carpetas podían moverse al directorio raíz.
Se corrigieron problemas de importación KeePass XML cuando falta la etiqueta <UUID> y los campos personalizados se transfieren incorrectamente.
Se corrigió un problema donde la primera edición de contraseña no se guardaba después de la migración desde la versión 6.x.x.
Se corrigió un problema donde los archivos adjuntos dejaban de descargarse desde enlaces después de preparar la migración en la versión 5.4.2, con el problema persistiendo después de actualizar a la versión 7.x.x.
Se corrigió un problema donde los enlaces en la ventana de acceso dejaban de mostrarse para algunas bóvedas y contraseñas después de actualizar a la versión 7.x.x.
Se corrigió un problema en la migración desde la versión 6.x.x donde los IDs de usuario se mostraban en lugar de los nombres de usuario en las notificaciones.
Se corrigieron los enlaces del manual de usuario: ahora se abren en una nueva pestaña y conducen a las páginas correctas.
Se corrigió un problema donde el favicon no se mostraba correctamente al cambiar la URL a un sitio con un favicon no disponible.
Se corrigió un problema donde los elementos seleccionados permanecían resaltados después de copiar carpetas mediante arrastrar y soltar.
Se corrigió la visualización del rol predeterminado en las ventanas de creación y confirmación de usuarios.
Se corrigió un problema donde el código TOTP solo se actualizaba después de reabrir la tarjeta de contraseña cuando se cambiaba la clave.

Otros cambios

Se cambiaron los valores predeterminados para la sección «Acceso a acciones de bóveda» en la configuración de Bóvedas.
Se ocultó el elemento «Contraseña enviada al grupo» del filtro de acciones en el Registro de actividad (versión con cifrado del lado del cliente).
Se ocultó el elemento del menú Editar en la ventana de envío de contraseña para usuarios sin los derechos de acceso apropiados.
Se ocultó el elemento del menú «Conectar dispositivo móvil» para usuarios que tienen restringido el uso de la aplicación móvil por la configuración de su rol.

Importante: Passwork requiere MongoDB versión 7.0 o superior. Las versiones anteriores no son compatibles y pueden causar problemas de compatibilidad.

Puede encontrar toda la información sobre las actualizaciones de Passwork en nuestras notas de la versión.

Lecturas adicionales

Lanzamiento de Passwork 7.2

Product updates

Nov 7, 2025 — 6 min read

The new version introduces customizable notifications with flexible delivery options, enhanced event logging descriptions, expanded CLI functionality, server-side PIN code storage for the browser extension, and the ability to enable client-side encryption during initial Passwork configuration.

Notification settings

We've added a dedicated notification settings section where you can choose notification types and delivery methods: in-app or via email.

Access notification settings in the Notifications section under Account in the settings menu.

Notification settings include two tabs:

Personal — notifications about your authentication events and actions of other users that affect your account
Activity log — notifications about selected events from the activity log. Notifications for events related to vaults, passwords, and tags are available for vaults with "Read" access level or higher.

You can change your notification email in the Profile and interface settings

Notification delivery methods

For each event, you can independently choose how to receive notifications or disable them entirely.

Use the checkboxes in the two columns to the right of the event name:

Bell icon — in-app notifications in Passwork interface
Envelope icon — email notifications to your specified address

Select the desired checkboxes. Settings apply independently for each event type.

PIN in browser extension

The extension PIN is now stored on the server as a cryptographic hash. In the role settings, you can set a maximum user inactivity period, after which the extension will request the PIN to be re-entered, narrowing the window of potential attack and protecting against unauthorized access to an already open session.

How it works

Actions on first extension login:

User authenticates in the extension
If PIN is mandatory for the user's role — a prompt to create one appears
If PIN is optional — the user can enable it voluntarily for additional protection

After successful login, a temporary access session begins — the user works with the extension without re-entering the PIN. Session duration depends on role settings and personal preferences. The PIN is requested again if the user hasn't performed any actions in the extension during the set time period.

If PIN is mandatory for the user's role, it cannot be disabled

Security

Even if someone gains access to a user's session token, they cannot open passwords in the extension without the PIN.

Passwork automatically terminates all sessions when:

PIN code is reset
Three failed entry attempts occur
Mandatory PIN code is enabled for the user's role
User's role is changed to one where PIN code is mandatory

All PIN code actions are recorded in the Activity log

Zero knowledge mode

Added an option to enable client-side encryption (Zero knowledge mode) in the setup wizard during initial Passwork configuration. Previously, this required running a separate script or editing the configuration file.

Zero knowledge mode encrypts all data on the client side, making decryption impossible even if the server is compromised. Each user has their own master password that is never transmitted to the server.

Learn more about Zero knowledge mode in our documentation

Improvements

Added a confirmation modal window for changing role to Owner and restricted the ability to assign this role to users
Added pagination and change indicators in the hidden vaults modal window
Added error information and update and get commands to the CLI utility (details in documentation)
Added the ability to retrieve current TOTP codes via CLI: the command now returns a one-time code instead of the original key
Improved security dashboard analysis: entries with an empty Password field no longer fall into the Weak category and are not evaluated for complexity
Added an option to limit link validity to one day
Improved display of long names and logins in User management
Improved display of inactive items in dropdown menus
Improved event descriptions in Activity log
Improved data import with large numbers of folders
Improved localization

Bug fixes

Fixed an issue where folders were not created during CSV import, causing passwords to import directly to the root directory
Fixed automatic launch of background tasks for loading groups, users, and LDAP sync when saving changes on the Groups and Synchronization tabs, and when starting manual sync in LDAP settings
Fixed display of pagination items when changing the sidebar width
Fixed an issue where pagination in User management could stop working after using the search bar
Fixed import window freezing when uploading files with large amounts of data and when importing vaults containing only folders
Fixed an issue in export where not all passwords could be exported after selecting all directories with the checkbox
Fixed an issue when bulk deleting large numbers of folders from the Bin
Fixed issues when moving columns: overlapping and extending beyond the visible area
Fixed filtering by invite creator: now it is possible to sequentially select different users without resetting the filter
Fixed an issue where checkboxes in access modals were not reset after canceling changes
Fixed an issue where a vault connection request appeared when connecting a user without access (version with client-side encryption)
Fixed an issue where copy and move folder to another vault options were unavailable if folder access was granted through a group without access to the root directory
Fixed an issue where the Move option remained available for folders in directories with "Full access" rights
Fixed an issue where the active tab reset to Users after refreshing the User management page
Fixed an issue in JSON import with structure preservation where passwords from folders could move to the root directory
Fixed KeePass XML import issues when the <UUID> tag is missing and custom fields transfer incorrectly
Fixed an issue where the first password edition was not saved after migration from version 6.x.x
Fixed an issue where attachments stopped downloading from links after preparing for migration in version 5.4.2, with the problem persisting after updating to version 7.x.x
Fixed an issue where links in the access window stopped displaying for some vaults and passwords after updating to version 7.x.x
Fixed an issue in migration from version 6.x.x where user IDs displayed instead of user names in notifications
Fixed user manual links: they now open in a new tab and lead to correct pages
Fixed an issue where favicon failed to display correctly when changing the URL to a site with an unavailable favicon
Fixed an issue where selected items remained highlighted after copying folders by drag-and-drop
Fixed the display of the default role in user creation and confirmation windows
Fixed an issue where the TOTP code would only update after reopening the password card when the key was changed

Other changes

Changed default values for "Access to vault actions" section in Vaults settings
Hidden the "Password sent to group" item from the actions filter in Activity log (version with client-side encryption)
Hidden the Edit menu item in the password send window for users without the appropriate access rights
Hidden the "Connect mobile device" menu item for users who have mobile app usage restricted by their role settings

Important: Passwork requires MongoDB version 7.0 or higher. Earlier versions are not supported and may cause compatibility issues.

You can find all information about Passwork updates in our release notes.

Passwork 7.2 release

Cybersecurity

Oct 30, 2025 — 19 min read

60% of small businesses that suffer a cyberattack shut down within six months. That is a reality documented by the U.S. Securities and Exchange Commission.

Small and medium-sized businesses have become prime targets for cybercriminals. The reason? These organizations hold valuable customer data, financial records, and intellectual property, yet they often lack the dedicated security teams and enterprise-grade defenses of larger corporations.

But here's the good news: you don't need a Fortune 500 budget to build robust defenses. What you need is a systematic approach, starting with the fundamentals and building from there.

This guide provides a comprehensive, step-by-step cybersecurity checklist based on the National Institute of Standards and Technology (NIST) framework — the same standard used by government agencies and major corporations. We'll walk you through everything from securing passwords and training employees to creating an incident response plan, with a focus on practical solutions that actually work.

Quick takeaways

The 7 most critical actions to protect your business:

Enable multi-factor authentication (MFA) on all business accounts and systems
Train your team quarterly on phishing recognition and security best practices
Implement the 3-2-1 backup rule and test your backups monthly
Create an incident response plan before you need it
Conduct a risk assessment to identify your most valuable assets and biggest vulnerabilities
Deploy a password manager to eliminate weak and reused passwords across your organization
Keep all software patched and updated with automatic updates wherever possible

SMB cybersecurity: 2025 snapshot

SMBs are prime targets

46% of all cyber breaches impact businesses with fewer than 1,000 employees, and 43% of SMBs faced at least one cyber attack in the past 12 months (October 2025). These statistics represent real businesses, many of which never recovered.

Cybercriminals target small businesses because they’re often the path of least resistance. These organizations have valuable data but typically lack dedicated security staff, making them an attractive target with a high probability of success.

Financial impact

The average cost of a data breach for a small business ranges from $120,000 to $1.24 million, according to research from Verizon. IBM's 2025 Cost of a Data Breach Report places the global average even higher at $4.44 million.

But the financial damage extends beyond immediate costs. Factor in lost business, damaged reputation, legal fees, regulatory fines, and the operational disruption of recovering from an attack, and the true cost becomes existential for many small businesses.

Small business cybersecurity checklist for 2025

Top threats in 2025

Ransomware: Ransomware remains the most damaging attack type for small and medium-sized businesses. In 2025, 88% of all SMB breaches involved ransomware attacks, significantly exceeding the 39% rate seen in larger enterprises. 47% of small businesses (with annual revenue under $10 million) were hit by ransomware in the last year, with 75% of SMBs stating they could not continue operating if successfully attacked.

Phishing and social engineering: Deceptive emails and messages designed to trick employees into revealing credentials or transferring money. 95% of breaches involve human error, making this the most common attack vector.

Business Email Compromise (BEC): Sophisticated scams where attackers impersonate executives or vendors to authorize fraudulent wire transfers. The FBI reported BEC losses of $2.77 billion in 2024 across 21,442 complaints.

NIST cybersecurity framework

Rather than approaching security in an ad hoc manner, this guide follows the National Institute of Standards and Technology (NIST) Cybersecurity Framework — a structured, systematic approach used by organizations worldwide.

The framework consists of six core functions:

GOVERN: Establish policies, assign responsibilities, and understand your risk landscape
IDENTIFY: Know what assets you need to protect and where your vulnerabilities lie
PROTECT: Implement safeguards to ensure delivery of critical services
DETECT: Develop capabilities to identify cybersecurity events quickly
RESPOND: Take action when a security incident is detected
RECOVER: Restore capabilities and services impaired by an incident

This systematic approach ensures you're not just implementing random security measures, but building a comprehensive defense strategy that addresses all aspects of cybersecurity.

GOVERN: Establish your cybersecurity foundation

Step 1. Create a cybersecurity policy

A cybersecurity policy is your organization's rulebook for security. It defines acceptable behavior, establishes standards, and sets clear expectations for everyone in your company.

Your policy should cover:

Acceptable use: What employees can and cannot do with company devices, networks, and data. This includes guidelines on personal use of company equipment, prohibited websites, and acceptable software installations.
Password policy: Requirements for password strength, uniqueness, and management. Specify that employees must use unique passwords for each account, never share credentials, and store passwords only in approved password managers.
Data handling: How to classify, store, share, and dispose of different types of company and customer data. Define what constitutes confidential information and how it should be protected.
Incident reporting: Clear procedures for reporting suspected security incidents, including who to contact and what information to provide.

You don't need a 50-page document. A clear, concise 3-5 page policy that employees actually read and understand is far more valuable than a comprehensive document that sits unread in a shared drive.

Step 2. Conduct a risk assessment

A risk assessment helps you identify your most valuable assets and your biggest vulnerabilities so you can prioritize your security investments.

Start by asking:

What data would be most damaging if stolen or destroyed? (Customer records, financial data, intellectual property, employee information)
Which systems are critical to daily operations? (Email, CRM, payment processing, file servers)
What are our biggest vulnerabilities? (Outdated software, lack of MFA, untrained employees, poor backup procedures)
What would be the business impact of various incidents? (Ransomware, data breach, extended downtime)

The FCC's Small Biz Cyber Planner provides a free, guided assessment tool specifically designed for small businesses. It takes about 30 minutes and generates a customized action plan.

Step 3. Address compliance requirements

Depending on your industry and location, you may have legal obligations for data protection:

GDPR (General Data Protection Regulation): If you handle data of EU residents, you must comply with strict data protection and privacy requirements, including breach notification within 72 hours.
HIPAA (Health Insurance Portability and Accountability Act): Healthcare providers and their business associates must protect patient health information with specific technical, physical, and administrative safeguards.
PCI DSS (Payment Card Industry Data Security Standard): If you accept credit card payments, you must comply with PCI DSS requirements for protecting cardholder data.
SOX (Sarbanes-Oxley Act): Publicly traded companies must implement controls to ensure the accuracy and security of financial data, including IT systems that store or process financial information.

Non-compliance is a business risk. GDPR fines can reach €20 million or 4% of annual global turnover, whichever is higher. HIPAA violations can result in penalties up to $1.5 million per violation category per year.

Step 4. Consider cyber insurance

Cyber insurance can help cover the costs of a breach, including forensic investigation, legal fees, customer notification, credit monitoring services, and business interruption losses.

However, insurance isn't a substitute for good security practices. Insurers increasingly require evidence of basic security controls, like MFA, employee training, and regular backups before issuing coverage. Premiums have also risen significantly, with some businesses seeing increases of 50-100% in recent years.

Before purchasing, understand exactly what's covered and what's excluded. Many policies don't cover ransomware payments or have significant limitations on business interruption coverage.

IDENTIFY: Know what you need to protect

Step 5. Inventory your hardware and software

Create and maintain an inventory of all devices and applications connected to your network:

Hardware: Computers, laptops, servers, mobile devices, routers, switches, printers, IoT devices
Software: Operating systems, business applications, cloud services, browser extensions

Include details like device owner, operating system version, software version, and last update date. This inventory serves multiple purposes: identifying outdated or unsupported systems, tracking devices when employees leave, and understanding your attack surface.

Many endpoint management tools can automate this inventory process. For smaller businesses, a simple spreadsheet updated quarterly may suffice.

Step 6. Classify your data

Not all data requires the same level of protection. Classify your data into categories to prioritize security efforts:

Public: Information intended for public consumption (marketing materials, published content)
Internal: Information for internal use that wouldn't cause significant harm if disclosed (internal memos, general business documents)
Confidential: Sensitive information that could cause significant harm if disclosed (customer data, financial records, employee information, trade secrets, intellectual property)
Restricted: Highly sensitive information subject to regulatory requirements (payment card data, health records, personally identifiable information)

Once classified, implement appropriate controls for each category. Confidential and restricted data should be encrypted, access should be limited to those with a business need, and handling procedures should be clearly documented.

PROTECT: Implement your core defenses

Step 7. Secure your passwords

Weak and compromised credentials are the leading cause of data breaches. 86% of breaches involved stolen or compromised credentials, according to Verizon's 2024 Data Breach Investigations Report.

The problem is simple: humans are terrible at creating and remembering strong, unique passwords. The average person has 100+ online accounts but uses the same handful of passwords across many of them. When one site is breached, attackers use those credentials to access other accounts — a technique called credential stuffing.

The solution: Password managers

A password manager is the single most impactful security tool you can deploy. It generates strong, unique passwords for every account, stores them in an encrypted vault, and automatically fills them when needed.

For businesses, a password manager like Passwork provides:

Centralized password management: Store all company credentials in a secure, encrypted vault accessible only to authorized team members.
Password generation: Create cryptographically strong passwords of 15+ characters with mixed case, numbers, and symbols — passwords that are virtually impossible to crack through brute force.
Secure sharing: Share credentials with team members without exposing the actual password. When an employee leaves, revoke access instantly without changing dozens of passwords.
Security dashboard: Identify weak, reused, or compromised passwords across your organization. Passwork's Security Dashboard provides visibility into your password hygiene and helps prioritize remediation efforts.
Audit trail: Track who accessed which credentials and when, providing accountability and helping investigate potential security incidents.

Even with a password manager, establish minimum standards:

Minimum 15 characters (longer is always better)
Unique for every account (never reuse passwords)
Randomly generated (no dictionary words, personal information, or predictable patterns)
Stored only in the password manager (never in browsers, spreadsheets, or sticky notes)

Step 8. Enforce Multi-Factor Authentication (MFA)

Multi-factor authentication requires two or more verification methods to access an account: something you know (password), something you have (phone or security key), or something you are (fingerprint or face).

Enable MFA immediately on:

Email accounts (your email is the key to resetting all other passwords)
Financial and banking systems
Cloud storage and file sharing
Administrative and privileged accounts
Any system containing sensitive data

MFA is extraordinarily effective. Microsoft research shows that MFA can prevent 99.9% of account compromise attacks. Even if an attacker steals a password through phishing or a data breach, they still can't access the account without the second factor.

Step 9. Train your employees

Technology alone cannot protect your business. 95% of breaches involve human error — an employee clicking a phishing link, falling for a social engineering scam, or misconfiguring a system.

Training program structure:

Onboarding training: All new employees should complete security awareness training within their first week. Cover the basics: password security, phishing recognition, physical security, acceptable use policy, and incident reporting.
Annual refresher training: Security threats evolve. Conduct comprehensive refresher training at least annually to cover new threats, reinforce fundamentals, and update employees on policy changes.
Phishing simulations: Send simulated phishing emails quarterly to test employee awareness and identify individuals who need additional training. This provides measurable data on your organization's security posture and keeps security top-of-mind.
Targeted training: When employees fall for simulated phishing or make security mistakes, provide immediate, constructive training rather than punishment. The goal is learning, not blame.

Key topics to cover:

Phishing recognition: How to identify suspicious emails, including checking sender addresses, hovering over links before clicking, watching for urgency and fear tactics, and verifying requests through alternative channels.
Social engineering: Tactics attackers use to manipulate people into divulging information or taking actions, including pretexting, baiting, and tailgating.
Password security: The importance of unique passwords, using the company password manager, never sharing credentials, and reporting suspected compromises.
Physical security: Locking screens when away from desks, securing mobile devices, proper disposal of sensitive documents, and challenging unknown individuals in the office.
Incident reporting: How to report suspected security incidents, who to contact, and the importance of reporting quickly even if unsure.

Make training engaging and relevant. Use real-world examples, keep sessions short (15-20 minutes), and relate threats to scenarios employees actually encounter.

Step 10. Secure your network

Your network is the foundation of your digital infrastructure. Securing it prevents unauthorized access and protects data in transit.

Firewall: A firewall acts as a barrier between your internal network and the internet, blocking unauthorized access while allowing legitimate traffic. Modern firewalls provide additional features like intrusion prevention, application control, and threat intelligence integration.

Ensure your firewall is:

Properly configured with rules that follow the principle of least privilege
Regularly updated with the latest firmware
Monitored for suspicious activity

Wi-Fi security: Wireless networks are convenient but create additional security risks.

Use WPA3 encryption (or WPA2 if WPA3 isn't available)
Change the default administrator password on your router
Disable WPS (Wi-Fi Protected Setup)
Hide your SSID if appropriate for your environment
Create a separate guest network isolated from your business network

VPN (Virtual Private Network): With remote work now standard, VPNs are essential. A VPN encrypts all internet traffic between remote employees and your business network, protecting sensitive data from interception.

Require all remote employees to use the company VPN when accessing business systems or handling sensitive data. Choose a reputable business VPN provider with strong encryption (AES-256), a no-logs policy, and support for modern protocols like WireGuard or OpenVPN.

Step 11. Protect your endpoints

Endpoints (computers, laptops, mobile devices) are where employees interact with your systems and data. They're also common entry points for malware and other threats.

Antivirus and Endpoint Detection and Response (EDR): Traditional antivirus is no longer sufficient. Modern threats require more sophisticated detection capabilities.

EDR solutions go beyond signature-based detection to identify suspicious behavior, contain threats automatically, and provide detailed forensics for investigation. While enterprise EDR can be expensive, several vendors now offer affordable solutions designed for small businesses.

At minimum, ensure every device has:

Modern antivirus/anti-malware software
Real-time scanning enabled
Automatic updates configured
Regular full system scans scheduled

Patch management: 60% of breaches involve unpatched vulnerabilities. Attackers actively scan for systems running outdated software with known vulnerabilities.

Implement a patch management process:

Enable automatic updates for operating systems and applications wherever possible
Prioritize critical security patches (apply within 48 hours of release)
Test patches in a non-production environment if possible, but don't let testing delay critical security updates
Maintain an inventory of all software to track patch status
Pay special attention to internet-facing systems and applications

Mobile Device Management (MDM): If employees use mobile devices for work, implement MDM to enforce security policies, encrypt data, enable remote wipe capabilities, and ensure devices stay updated.

Step 12. Back up your data

The 3-2-1 Backup Rule:

3 copies of your data (the original plus two backups)
2 different media types (e.g., local disk and cloud storage)
1 copy offsite (protected from physical disasters like fire or flood)

What to back up:

All business-critical data and databases
Email systems and archives
Financial records and customer data
Configuration files and system images
Intellectual property and work product

Backup frequency:

Critical systems: Daily or continuous
Important data: Daily
Less critical data: Weekly

Retention period: Keep multiple versions spanning at least 30 days. This protects against ransomware that remains dormant before activating, ensuring you have clean backups from before the infection.

Immutable backups: Configure backups to be immutable (cannot be modified or deleted) for a specified period. This prevents ransomware from encrypting your backups along with your production data.

Test your backups: Untested backups are just expensive storage. Conduct restoration tests quarterly to verify:

Backups are completing successfully
Data can be restored within acceptable timeframes
Restored data is complete and usable
Restoration procedures are documented and understood

Step 13. Control access to data

Not everyone needs access to everything. The Principle of Least Privilege states that users should have only the minimum access necessary to perform their job functions.

Role-Based Access Control (RBAC): Define roles based on job functions and assign permissions to roles rather than individuals. When someone changes positions, you simply change their role assignment rather than adjusting dozens of individual permissions.

Through Passwork's role-based permission system, administrators can define exactly who has access to which credentials, implement the principle of least privilege at the password level, and enforce separation of duties.

Regular access reviews: Conduct quarterly reviews of who has access to what. Remove access for departed employees immediately, adjust access for employees who changed roles, and revoke unnecessary permissions.

Privileged account management: Administrative accounts have extensive system access and are prime targets for attackers.

Limit the number of users with administrative privileges
Use separate accounts for administrative tasks (never use admin accounts for daily work)
Require MFA for all privileged accounts
Log and monitor all privileged account activity
Implement just-in-time access that grants elevated privileges only when needed and automatically revokes them after a specified period

When an employee changes roles or leaves the company, Passwork makes it possible to instantly revoke access to all relevant credentials without the need to change dozens of passwords across multiple systems. Audit logs track every credential access, providing the accountability and visibility required for compliance and security investigations.

Shared account elimination: Eliminate shared accounts wherever possible. Every user should have their own credentials for accountability and audit purposes. When shared accounts are unavoidable (legacy systems), use a password manager like Passwork to control access and maintain an audit trail of who accessed the credentials and when.

Passwork provides centralized control over credential access across the organization. Through Passwork's role-based permission system, administrators can define exactly who has access to which credentials, implement the principle of least privilege at the password level, and enforce separation of duties through Vault types.

DETECT: Monitor for suspicious activity

Assume that determined attackers will eventually find a way in. Your goal is to detect and respond before they can cause significant damage.

Step 14. Monitor your systems

Implement logging and monitoring for:

Failed login attempts: Multiple failed logins may indicate a brute-force attack or compromised credentials.
Unusual access patterns: Logins from unexpected locations, access to unusual resources, or activity outside normal business hours.
System changes: New user accounts, permission changes, software installations, or configuration modifications.
Network traffic anomalies: Unusual outbound traffic, connections to suspicious IP addresses, or large data transfers.

For small businesses without dedicated security staff, consider:

Security Information and Event Management (SIEM): Cloud-based SIEM solutions designed for SMBs can aggregate logs, identify anomalies, and alert you to potential incidents. Many offer affordable pricing tiers for small businesses.
Managed Detection and Response (MDR): Outsource monitoring to a security provider who watches your systems 24/7 and alerts you to threats. This provides enterprise-grade detection capabilities at a fraction of the cost of building an internal security operations center.

Step 15. Implement intrusion detection (For advanced SMBs)

As your business grows and your security maturity increases, consider deploying Intrusion Detection Systems (IDS) or Intrusion Prevention Systems (IPS).

These systems monitor network traffic for malicious activity and known attack patterns. IDS alerts you to threats, while IPS can automatically block malicious traffic.

For most small businesses, this is a secondary priority after implementing the fundamental controls outlined above. Focus first on the basics before investing in more advanced detection capabilities.

RESPOND: Plan for a security incident

Having a plan in place before an incident occurs dramatically reduces response time, limits damage, and improves recovery outcomes. Yet 47% of SMBs lack an incident response plan.

Step 16. Create an Incident Response (IR) plan

An incident response plan is your playbook for handling security incidents. It defines roles, establishes procedures, and ensures everyone knows what to do when an incident occurs.

The 6-step incident response lifecycle:

1. Preparation

Develop and document your IR plan
Assemble your IR team and define roles
Establish communication procedures
Prepare tools and resources needed for response
Conduct training and tabletop exercises

2. Detection and analysis

Identify potential security incidents through monitoring, alerts, or user reports
Determine if an actual incident has occurred
Assess the scope, severity, and type of incident
Document all findings and actions taken

3. Containment

Short-term containment: Immediately isolate affected systems to prevent spread (disconnect from network, disable compromised accounts)
Long-term containment: Implement temporary fixes to allow systems to continue operating while preparing for recovery
Preserve evidence for investigation and potential legal action

4. Eradication

Remove the threat from your environment (delete malware, close vulnerabilities, remove unauthorized access)
Identify and address the root cause
Ensure the threat is completely eliminated before proceeding to recovery

5. Recovery

Restore systems and data from clean backups
Verify systems are functioning normally
Monitor closely for signs of persistent threats
Gradually return systems to production

6. Lessons learned

Conduct a post-incident review within two weeks
Document what happened, what worked, and what didn't
Update your IR plan based on lessons learned
Implement improvements to prevent similar incidents

Key components of your IR plan:

Incident classification: Define severity levels (Low, Medium, High, Critical) with clear criteria and corresponding response procedures.

Contact information: Maintain an updated list of internal team members, external partners (IT support, legal counsel, cyber insurance provider, law enforcement), and key vendors.

Communication procedures: Who communicates what to whom? How do you notify customers of a breach? What's your media response strategy?

Legal and regulatory requirements: Understand breach notification requirements for your jurisdiction and industry. Many regulations require notification within specific timeframes (GDPR: 72 hours, many U.S. state laws: 30-60 days).

Evidence preservation: Document procedures for preserving evidence for investigation and potential legal action.

RECOVER: Ensure business continuity

Step 17. Develop a Business Continuity Plan (BCP)

While your incident response plan focuses on the technical response to a security incident, your business continuity plan addresses how your business will continue operating.

Your BCP should address:

Critical business functions: Identify which business functions are essential and must continue during an incident (e.g., customer service, order processing, payroll).
Recovery Time Objectives (RTO): How quickly must each system or function be restored? Different systems have different priorities.
Recovery Point Objectives (RPO): How much data loss is acceptable? This determines your backup frequency.
Alternative procedures: How will you perform critical functions if primary systems are unavailable? This might include manual processes, alternative systems, or temporary workarounds.
Communication plan: How will you communicate with employees, customers, vendors, and partners during an extended outage?
Succession planning: Who makes decisions if key personnel are unavailable?

Step 18. Test your recovery procedures

Plans that aren't tested are just documents. Conduct regular tests of your recovery procedures:

Tabletop exercises: Gather your team and walk through incident scenarios. Discuss how you would respond, identify gaps in your plan, and clarify roles and responsibilities. Conduct these exercises at least annually.
Technical tests: Actually restore systems from backups, fail over to alternative systems, and verify that recovery procedures work as documented. Test quarterly for critical systems.
Full-scale simulations: For mature organizations, conduct realistic simulations that test your entire response and recovery capability. These are resource-intensive but provide invaluable insights.

Document the results of all tests, identify areas for improvement, and update your plans accordingly.

Frequently Asked Questions

How much should a small business spend on cybersecurity?

Industry guidelines suggest allocating 3-10% of your IT budget to cybersecurity, with the percentage increasing based on your risk profile and industry. For a small business with a $50,000 annual IT budget, this translates to $1,500-$5,000 per year.

However, don't let budget constraints prevent you from implementing basic security. The fundamental controls — password manager, MFA, employee training, and backups — cost less than $5,000 annually for most small businesses and provide the majority of risk reduction.

What is the most common cyber attack on small businesses?

Phishing is the most common attack vector, involved in 85% of breaches according to Cyber security breaches survey 2025. Phishing attacks trick employees into revealing credentials, downloading malware, or transferring money.

Ransomware is the most damaging attack type for small businesses, with attacks increasing 68% in 2024. The average ransomware payment demanded from small businesses is $200,000, though many organizations pay significantly more when downtime costs are included.

Do I need cyber insurance?

Cyber insurance can be valuable, but it's not a substitute for good security practices. Insurance helps cover costs after a breach, but it doesn't prevent the operational disruption, reputational damage, and customer trust issues that come with an incident.

Consider cyber insurance if:

You handle sensitive customer data
You're in a high-risk industry (healthcare, finance, retail)
You have significant revenue that would be impacted by downtime
You want to transfer some financial risk

Before purchasing, implement basic security controls. Many insurers now require evidence of MFA, employee training, and regular backups before issuing coverage.

What is the NIST Cybersecurity Framework?

The NIST Cybersecurity Framework is a voluntary framework developed by the National Institute of Standards and Technology to help organizations manage cybersecurity risk. It provides a common language and systematic approach to cybersecurity through six core functions: Govern, Identify, Protect, Detect, Respond, and Recover.

The framework is flexible and scalable, making it appropriate for organizations of all sizes, from small businesses to large enterprises and government agencies.

How often should we conduct security training?

At minimum, conduct comprehensive security awareness training annually for all employees. However, best practice includes:

Initial training during onboarding (within first week)
Annual comprehensive refresher training
Quarterly phishing simulations
Immediate targeted training when employees fail simulations or make security mistakes
Ad-hoc training when new threats emerge

Security awareness is not a one-time event—it's an ongoing process. Regular reinforcement keeps security top-of-mind and helps employees recognize evolving threats.

What should we do if we're hit by ransomware?

If you suspect a ransomware infection:

Immediately isolate affected systems from the network
Do not pay the ransom (payment doesn't guarantee data recovery and funds criminal activity)
Activate your incident response plan
Contact law enforcement (FBI, local authorities)
Notify your cyber insurance provider if you have coverage
Engage cybersecurity experts to contain the threat and investigate
Restore from clean backups once the threat is eradicated

This is why having tested backups and an incident response plan is critical — they provide options other than paying the ransom.

How do we know if our current security is adequate?

Conduct a security assessment using the NIST Cybersecurity Framework or the CIS Critical Security Controls as a benchmark. Ask:

Do we have a password manager and is MFA enabled on all critical systems?
Do we conduct regular security training and phishing simulations?
Do we have tested backups following the 3-2-1 rule?
Do we have an incident response plan?
Are all systems patched and up-to-date?
Do we monitor systems for suspicious activity?
Have we conducted a risk assessment in the past year?

If you answered "no" to any of these questions, you have gaps to address. Consider engaging a third-party security assessor for an objective evaluation of your security posture.

Conclusion

Cybersecurity can feel overwhelming, especially for small businesses without dedicated IT security staff. But the reality is that you don't need enterprise-grade tools or a massive budget to significantly reduce your risk.

What you need is a systematic approach: start with the fundamentals, build from there, and continuously improve. The NIST Cybersecurity Framework provides that structure, guiding you through governance, identification, protection, detection, response, and recovery.

The threats are real, and the statistics are sobering. But so is the opportunity. By implementing the controls outlined in this checklist, you'll be far ahead of most small businesses, and far less attractive to attackers who seek the path of least resistance.

Cybersecurity is an ongoing process of assessment, implementation, monitoring, and improvement. Start today with the highest-impact, lowest-cost controls: deploy a password manager, enable MFA, train your team, and implement robust backups.

Ready to take the first and most critical step? Secure your company's passwords today with a free trial of Passwork.

Small business cybersecurity checklist for 2025

Secrets management

Oct 7, 2025 — 7 min read

Einführung

In Unternehmensumgebungen steigt die Anzahl der Passwörter, Schlüssel und digitalen Zertifikate rasant an, und Secrets Management wird zu einer der kritischen Aufgaben für IT-Teams.

Secrets Management umfasst den gesamten Lebenszyklus sensibler Daten: von der sicheren Generierung und verschlüsselten Speicherung bis hin zur automatisierten Rotation und Audit-Trails. Mit der Einführung von Cloud-Infrastruktur, Microservices und DevOps-Praktiken in Organisationen verschärft sich die Herausforderung — Anwendungen benötigen nahtlosen Zugriff auf Anmeldedaten unter Einhaltung von Zero-Trust-Sicherheitsprinzipien.

IT-Abteilungen und DevOps-Teams stehen vor Situationen, in denen es zu viele Secrets gibt, die schwer zu strukturieren, zu kontrollieren und zu schützen sind. In realen Projekten verteilen sich diese Secrets über Konfigurationsdateien, Umgebungsvariablen, Deployment-Skripte und tauchen gelegentlich in öffentlichen Repositories auf.

Was ist Secrets Management

Secrets Management ist eine Best Practice der Cybersicherheit und eine Reihe von Tools zur sicheren Speicherung, Verwaltung, zum Zugriff und zur Rotation von digitalen Authentifizierungsdaten, die von nicht-menschlichen Identitäten wie Anwendungen, Diensten, Servern und automatisierten Workloads verwendet werden.

Solche Secrets umfassen Passwörter, Passphrasen, SSH-, API- und Verschlüsselungsschlüssel, Zugangstokens, digitale Zertifikate und alle anderen Anmeldedaten, die sicheren Zugriff auf die Infrastruktur ermöglichen.

Warum Secrets Management wichtig ist

Der Schutz vertraulicher Informationen ist eine zentrale Priorität für jedes Unternehmen. Secrets erfordern strenge Kontrolle in jeder Phase ihres Lebenszyklus. Hier sind einige Vorteile eines ordnungsgemäßen Secrets Managements:

Zentralisierte Speicherung. Alle Passwörter, Schlüssel und Tokens werden in einem einzigen geschützten Repository gespeichert, wodurch verhindert wird, dass sie in offenen Dokumenten, Skripten oder Quellcode landen. Dies reduziert das Risiko von Lecks und unbefugtem Zugriff.
Flexible Zugriffsverwaltung. Das System ermöglicht die individuelle Festlegung, wer auf welche Secrets zugreifen kann — ob einzelne Mitarbeiter, Gruppen oder Dienstkonten. Dies hilft bei der Umsetzung des Prinzips der minimalen Berechtigung und reduziert potenzielle Angriffsvektoren.
Vollständige Kontrolle und operative Transparenz. Jede Anfrage wird protokolliert: Sie können nachverfolgen, wer wann welche Aktionen durchgeführt hat. Auditing erleichtert die Einhaltung von Vorschriften und macht Sicherheitsprozesse maximal transparent.
Automatisierte Rotation. Passwörter und Schlüssel werden regelmäßig automatisch aktualisiert — nach Zeitplan oder bei erkannten Bedrohungen. Dies spart IT-Ressourcen und verringert die Wahrscheinlichkeit, veraltete oder kompromittierte Daten zu verwenden.
Integration mit Infrastruktur und DevOps. Der Zugriff auf Secrets erfolgt über API, CLI, SDK und Plugins, was die Systemintegration mit CI/CD-Pipelines, Cloud-Plattformen, Containern und Datenbanken vereinfacht.
Schnelle Reaktion auf Vorfälle. Ein zentralisierter Ansatz ermöglicht das schnelle Widerrufen oder Ersetzen gefährdeter Secrets, minimiert die Folgen von Vorfällen und verhindert die Ausbreitung von Bedrohungen innerhalb des Unternehmens.

Ohne eine einheitliche Lösung „wandern" Secrets oft durch Konfigurationsdateien und Quellcode, was deren Aktualisierung erschwert und Kompromittierungsrisiken erhöht. Unternehmenspasswort-Manager lösen diese Aufgabe, aber nicht alle unterstützen die für moderne DevOps-Prozesse erforderliche Automatisierung.

Passwork: Mehr als ein Passwort-Manager

Passwork begann als Unternehmenspasswort-Manager — ein einfaches und praktisches Tool zur Speicherung von Anmeldedaten. Aber moderne IT-Teams benötigen mehr: Automatisierung, Integration und programmatischen Zugriff auf Secrets.

Mit Passwork 7 hat sich die Plattform über die traditionelle Passwortspeicherung hinaus zu einem vollwertigen Secrets-Management-System entwickelt.

API-first-Architektur

Passwork basiert auf API-first-Prinzipien. Das bedeutet, dass jede in der Benutzeroberfläche verfügbare Funktion auch über REST API verfügbar ist.

Die API bietet programmatischen Zugriff auf alle Systemfunktionen: Passwortverwaltung, Tresore, Ordner, Benutzer, Rollen, Tags, Dateianhänge und Ereignisprotokolle. Dies ermöglicht die Automatisierung von Zugriffsbereitstellung und -entzug, die programmatische Aktualisierung von Passwörtern, die Integration von Passwork in CI/CD-Pipelines und den Export von Protokollen zur Analyse.

Zwei Produkte in einem

Mit anderen Worten kombiniert Passwork jetzt zwei vollwertige Produkte:

Passwort-Manager — intuitive Oberfläche für sichere Speicherung von Anmeldedaten und Teamzusammenarbeit.
Secrets-Management-System — programmatischer Zugriff über REST API, Python-Connector, CLI und Docker-Container zur Workflow-Automatisierung.

Automatisierungstools

Python-Connector

Der offizielle Python-Connector von Passwork beseitigt die Komplexität der Arbeit mit Low-Level-API-Aufrufen und Kryptographie. Verwalten Sie Secrets über einfache Methoden — ohne manuelle HTTP-Anfragenbehandlung oder Datentransformationen.

Anwendungsbeispiel:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Hauptfunktionen:

Einfache Methoden wie create_item(), get_item(), create_vault() erledigen alle Operationen; keine manuellen HTTP-Anfragen erforderlich
Client-seitige Kryptographie — der Masterpasswort verlässt nie Ihre Umgebung
Der Connector speichert, stellt wieder her und aktualisiert Tokens automatisch
Die universelle call()-Methode ermöglicht den Zugriff auf jeden API-Endpunkt, auch solche ohne dedizierte Methoden

Der Python-Connector beschleunigt Automatisierung und Integration ohne unnötige Komplexität.

CLI-Dienstprogramm

Für Shell-Skript- und CI/CD-Automatisierung bietet Passwork CLI ein universelles Tool mit zwei Betriebsmodi:

exec — extrahiert Secrets, erstellt Umgebungsvariablen und führt Ihren Prozess aus. Passwörter werden nie gespeichert und sind nur während der Ausführung verfügbar.
api — ruft jede Passwork-API-Methode auf und gibt JSON-Antworten zurück.

Hauptfunktionen:

Passwörter werden als Umgebungsvariablen eingefügt
Secrets werden automatisch in CI/CD-Pipelines geladen
Temporäre Variablen ermöglichen Dienstkonto-Operationen
Native Integration mit Ansible, Terraform, Jenkins und ähnlichen Tools

Anwendungsbeispiele

Passwort abrufen und Befehl ausführen:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Skript mit mehreren Secrets ausführen:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Tresorliste über API abrufen:

passwork-cli api --method GET --endpoint "v1/vaults"

Die CLI unterstützt Tag- und Ordnerfilterung, benutzerdefinierte Felder, Token-Aktualisierung und flexible Konfiguration für diverse Automatisierungsszenarien.

Docker-Container

Für die CI/CD-Integration ermöglicht das offizielle passwork/passwork-cli Docker-Image schnelle CLI-Starts in isolierten Umgebungen.

Startbeispiel:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Hauptfunktionen:

Bereit für GitLab, Bitbucket Pipelines und docker-compose-Workflows
Secrets können einfach zwischen Containern übergeben werden

Wie Passwort-Rotation automatisiert wird

Regelmäßige Passwortänderungen sind eine grundlegende Sicherheitsanforderung, aber manuelle Rotation birgt Risiken und kostet Zeit. Passwork ermöglicht vollständige Automatisierung über den Python-Connector.

Rotations-Workflow:

Aktuelles Passwort aus Passwork abrufen (get_item)
Neues sicheres Passwort generieren
Passwort im Zielsystem ändern (z. B. ALTER USER für Datenbanken)
Eintrag in Passwork aktualisieren (update_item)
Team über den Abschluss benachrichtigen

Beispielimplementierung:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Vorteile:

Vollständig automatisierte Rotation eliminiert manuelle Aktionen und menschliche Fehler
Neues Passwort ist sofort für das gesamte Team verfügbar — keine Verzögerungen oder Kommunikationslücken

Sicherheit: Zero Knowledge und Verschlüsselung

Passwork implementiert eine Zero-Knowledge-Architektur: Der Server greift nie auf Secrets im Klartext zu. Selbst Administratoren mit vollem Infrastrukturzugriff können Ihre Daten nicht lesen.

Server-seitige Verschlüsselung — Alle Secrets werden verschlüsselt auf dem Server gespeichert. Geeignet für interne Netzwerke und Standard-Sicherheitsanforderungen.
Client-seitige Verschlüsselung (CSE) — Secrets werden vor der Übertragung auf dem Client verschlüsselt; nur Chiffretext erreicht den Server. Der Masterpasswort wird aus dem Masterpasswort des Benutzers abgeleitet. Unverzichtbar für Cloud-Deployments oder strenge Compliance-Anforderungen.

Wahl des Modells:

Cloud-Deployment oder strenge Compliance → CSE aktivieren
Internes Netzwerk mit Standardanforderungen → Server-seitige Verschlüsselung ausreichend

Autorisierung und Tokens

Die Passwork API verwendet ein Token-Paar: accessToken und refreshToken.

Access Token — Kurzlebige Anmeldedaten für API-Anfragen
Refresh Token — Ermöglicht automatische Access-Token-Erneuerung ohne erneute Autorisierung

Der Python-Connector verwaltet die Token-Aktualisierung automatisch und gewährleistet stabile Integrationen ohne manuellen Eingriff.

Best Practices für die Sicherheit:

Dedizierte Dienstkonten erstellen — Minimale Berechtigungen zuweisen, Zugriff nur auf erforderliche Tresore und Ordner gewähren
Tokens regelmäßig rotieren — Ablaufrichtlinien festlegen und Anmeldedaten nach Zeitplan aktualisieren
Sichere Token-Speicherung — Umgebungsvariablen oder dedizierte Secret-Tresore verwenden (niemals hartcodieren)
HTTPS erzwingen — Immer verschlüsselte Verbindungen für die API-Kommunikation verwenden

Fazit

Passwork hat sich von einem Passwort-Manager zu einer umfassenden Secrets-Management-Plattform entwickelt. Die offene API, der Python-Connector, CLI und das Docker-Image ermöglichen nahtlose Integration in jeden Workflow bei gleichzeitiger Zentralisierung von Secrets mit granularer Zugriffskontrolle.

Für Administratoren: Zuverlässige Speicherung mit integrierten Automatisierungsfunktionen.
Für Entwickler und DevOps: Produktionsreife API und Tools für sichere Secrets-Handhabung.

Passwork konsolidiert, was typischerweise mehrere Lösungen erfordert, in einem einzigen System mit einheitlicher Verwaltung. Dies reduziert den operativen Aufwand, vereinfacht Rotations-Workflows und bietet IT- und Entwicklungsteams transparente Sicherheitskontrollen.

Als Secrets-Management-Plattform liefert Passwork eine geschützte, skalierbare Infrastruktur, die sich an die Bedürfnisse Ihrer Organisation anpasst.

Erfahren Sie, wie Passwork das Credential-Lifecycle-Management in Ihrer Infrastruktur automatisiert. Holen Sie sich eine kostenlose Demo mit vollem API-Zugriff.

Weiterführende Lektüre

Passwork: Secrets Management und Automatisierung für DevOps

Secrets management

Oct 7, 2025 — 8 min read

Passwork: Gestión de secretos y automatización para DevOps

Introducción

En el entorno corporativo, el número de contraseñas, claves y certificados digitales está aumentando rápidamente, y la gestión de secretos se está convirtiendo en una de las tareas críticas para los equipos de TI.

La gestión de secretos abarca el ciclo de vida completo de los datos sensibles: desde la generación segura y el almacenamiento cifrado hasta la rotación automatizada y los registros de auditoría. A medida que las organizaciones adoptan infraestructura en la nube, microservicios y prácticas DevOps, el desafío se intensifica — las aplicaciones necesitan acceso fluido a las credenciales mientras mantienen los principios de seguridad de confianza cero.

Los departamentos de TI y los equipos DevOps enfrentan situaciones donde hay demasiados secretos que se vuelven difíciles de estructurar, controlar y proteger. En proyectos reales, estos secretos se dispersan en archivos de configuración, variables de entorno, scripts de despliegue y ocasionalmente aparecen en repositorios públicos.

Qué es la gestión de secretos

La gestión de secretos es una práctica recomendada de ciberseguridad y un conjunto de herramientas para almacenar, gestionar, acceder y rotar de forma segura las credenciales de autenticación digital utilizadas por identidades no humanas como aplicaciones, servicios, servidores y cargas de trabajo automatizadas.

Dichos secretos incluyen contraseñas, frases de contraseña, claves SSH, API y de cifrado, tokens de acceso, certificados digitales y cualquier otra credencial que permita el acceso seguro a la infraestructura.

Por qué es importante la gestión de secretos

Proteger la información confidencial es una prioridad clave para cualquier empresa. Los secretos requieren un control estricto en cada etapa de su ciclo de vida. Estos son solo algunos beneficios de una gestión adecuada de secretos:

Almacenamiento centralizado. Todas las contraseñas, claves y tokens se almacenan en un único repositorio protegido, evitando que terminen en documentos abiertos, scripts o código fuente, reduciendo el riesgo de filtraciones y acceso no autorizado.
Gestión de acceso flexible. El sistema permite determinar de forma individualizada quién puede acceder a qué secretos, ya sean empleados individuales, grupos o cuentas de servicio. Esto ayuda a implementar el principio de mínimo privilegio y reduce los vectores de ataque potenciales.
Control completo y transparencia operativa. Cada solicitud se registra: puede rastrear quién, cuándo y qué acciones se realizaron. La auditoría facilita el cumplimiento normativo y hace que los procesos de seguridad sean máximamente transparentes.
Rotación automatizada. Las contraseñas y claves se actualizan regularmente de forma automática, según un horario o cuando se detectan amenazas. Esto ahorra recursos de TI y reduce la probabilidad de usar datos obsoletos o comprometidos.
Integración con infraestructura y DevOps. El acceso a los secretos se proporciona a través de API, CLI, SDK y plugins, simplificando la integración del sistema con pipelines CI/CD, plataformas en la nube, contenedores y bases de datos.
Respuesta rápida a incidentes. Un enfoque centralizado permite revocar o reemplazar rápidamente secretos vulnerables, minimizando las consecuencias de los incidentes y previniendo la propagación de amenazas dentro de la empresa.

Sin una solución unificada, los secretos a menudo «deambulan» por archivos de configuración y código fuente, complicando sus actualizaciones y aumentando los riesgos de compromiso. Los gestores de contraseñas corporativos resuelven esta tarea, pero no todos admiten la automatización necesaria para los procesos DevOps modernos.

Passwork: Más que un gestor de contraseñas

Passwork comenzó como un gestor de contraseñas corporativo — una herramienta simple y conveniente para almacenar credenciales. Pero los equipos de TI modernos necesitan más: automatización, integración y acceso programático a los secretos.

Con Passwork 7, la plataforma evolucionó más allá del almacenamiento tradicional de contraseñas hacia un sistema de gestión de secretos completo.

Arquitectura API-first

Passwork está construido sobre principios API-first. Esto significa que cada función disponible en la interfaz de usuario está disponible a través de REST API.

La API proporciona acceso programático a todas las funciones del sistema: gestión de contraseñas, bóvedas, carpetas, usuarios, roles, etiquetas, archivos adjuntos y registros de eventos. Esto permite automatizar el aprovisionamiento y revocación de acceso, actualizar contraseñas de forma programática, integrar Passwork en pipelines CI/CD y exportar registros para análisis.

Dos productos en uno

En otras palabras, Passwork ahora combina dos productos completos:

Gestor de contraseñas — interfaz intuitiva para almacenamiento seguro de credenciales y colaboración en equipo.
Sistema de gestión de secretos — acceso programático a través de REST API, conector Python, CLI y contenedor Docker para automatización de flujos de trabajo.

Herramientas de automatización

Conector Python

El conector Python oficial de Passwork elimina la complejidad de trabajar con llamadas API de bajo nivel y criptografía. Gestione secretos mediante métodos simples — sin necesidad de manejo manual de solicitudes HTTP ni transformaciones de datos.

Ejemplo de uso:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Características principales:

Métodos simples como create_item(), get_item(), create_vault() manejan todas las operaciones; no se necesitan solicitudes HTTP manuales
Criptografía del lado del cliente — la clave maestra nunca sale de su entorno
El conector guarda, restaura y actualiza tokens automáticamente
El método universal call() permite acceder a cualquier endpoint de la API, incluso aquellos sin métodos dedicados

El conector Python acelera la automatización e integración sin complejidad innecesaria.

Utilidad CLI

Para la automatización de scripts de shell y CI/CD, Passwork CLI proporciona una herramienta universal con dos modos de operación:

exec — extrae secretos, crea variables de entorno y ejecuta su proceso. Las contraseñas nunca se guardan y solo están disponibles durante la ejecución.
api — llama a cualquier método de la API de Passwork y devuelve respuestas JSON.

Características principales:

Contraseñas inyectadas como variables de entorno
Secretos cargados automáticamente en pipelines CI/CD
Variables temporales permiten operaciones de cuentas de servicio
Integración nativa con Ansible, Terraform, Jenkins y herramientas similares

Ejemplos de uso

Recuperar una contraseña y ejecutar un comando:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Ejecutar script con múltiples secretos:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Obtener lista de bóvedas a través de la API:

passwork-cli api --method GET --endpoint "v1/vaults"

El CLI admite filtrado por etiquetas y carpetas, campos personalizados, actualización de tokens y configuración flexible para diversos escenarios de automatización.

Contenedor Docker

Para la integración CI/CD, la imagen oficial passwork/passwork-cli Docker permite lanzamientos rápidos del CLI en entornos aislados.

Ejemplo de lanzamiento:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Características principales:

Listo para GitLab, Bitbucket Pipelines y flujos de trabajo docker-compose
Secretos fácilmente compartidos entre contenedores

Cómo automatizamos la rotación de contraseñas

Los cambios regulares de contraseña son un requisito fundamental de seguridad, pero la rotación manual introduce riesgos y desperdicia tiempo. Passwork permite una automatización completa a través del conector Python.

Flujo de trabajo de rotación:

Recuperar la contraseña actual de Passwork (get_item)
Generar nueva contraseña segura
Cambiar la contraseña en el sistema de destino (por ejemplo, ALTER USER para bases de datos)
Actualizar el registro en Passwork (update_item)
Notificar al equipo de la finalización

Ejemplo de implementación:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Beneficios:

La rotación completamente automatizada elimina acciones manuales y errores humanos
La nueva contraseña está disponible inmediatamente para todo el equipo — sin retrasos ni brechas de comunicación

Seguridad: Zero knowledge y cifrado

Passwork implementa arquitectura Zero knowledge: el servidor nunca accede a los secretos en texto plano. Incluso los administradores con acceso completo a la infraestructura no pueden leer sus datos.

Cifrado del lado del servidor — Todos los secretos se almacenan cifrados en el servidor. Adecuado para redes internas y requisitos de seguridad estándar.
Cifrado del lado del cliente (CSE) — Los secretos se cifran en el cliente antes de la transmisión; solo el texto cifrado llega al servidor. La clave maestra se deriva de la contraseña maestra del usuario. Esencial para despliegues en la nube o requisitos de cumplimiento estrictos.

Elegir su modelo:

Despliegue en la nube o cumplimiento estricto → Habilitar CSE
Red interna con requisitos estándar → El cifrado del lado del servidor es suficiente

Autorización y tokens

La API de Passwork utiliza un par de tokens: accessToken y refreshToken.

Token de acceso — Credencial de corta duración para solicitudes API
Token de actualización — Permite la renovación automática del token de acceso sin reautorización

El conector Python maneja la actualización de tokens automáticamente, asegurando integraciones estables sin intervención manual.

Mejores prácticas de seguridad:

Crear cuentas de servicio dedicadas — Asignar permisos mínimos, otorgar acceso solo a las bóvedas y carpetas requeridas
Rotar tokens regularmente — Establecer políticas de expiración y actualizar credenciales según un horario
Almacenamiento seguro de tokens — Usar variables de entorno o bóvedas de secretos dedicadas (nunca codificar directamente)
Aplicar HTTPS — Siempre usar conexiones cifradas para la comunicación API

Conclusiones

Passwork ha evolucionado de un gestor de contraseñas a una plataforma integral de gestión de secretos. La API abierta, el conector Python, CLI e imagen Docker permiten una integración perfecta en cualquier flujo de trabajo mientras centralizan los secretos con control de acceso granular.

Para administradores: Almacenamiento confiable con capacidades de automatización integradas.
Para desarrolladores y DevOps: API y herramientas listas para producción para el manejo seguro de secretos.

Passwork consolida lo que típicamente requiere múltiples soluciones en un único sistema con gestión unificada. Esto reduce la sobrecarga operativa, simplifica los flujos de trabajo de rotación y proporciona a los equipos de TI y desarrollo controles de seguridad transparentes.

Como plataforma de gestión de secretos, Passwork ofrece una infraestructura protegida y escalable que se adapta a las necesidades de su organización.

Descubra cómo Passwork automatiza la gestión del ciclo de vida de credenciales en su infraestructura. Obtenga una demostración gratuita con acceso completo a la API.

Lecturas adicionales

Passwork: gestión de secretos y automatización para DevOps

Secrets management

Oct 7, 2025 — 7 min read

Introduction

In corporate environment, the number of passwords, keys, and digital certificates is rapidly increasing, and secrets management is becoming one of the critical tasks for IT teams.

Secrets management addresses the complete lifecycle of sensitive data: from secure generation and encrypted storage to automated rotation and audit trails. As organizations adopt cloud infrastructure, microservices, and DevOps practices, the challenge intensifies — applications need seamless access to credentials while maintaining zero-trust security principles.

IT departments and DevOps teams face situations where there are too many secrets that become difficult to structure, control, and protect. In real-world projects, these secrets scatter across config files, environment variables, deployment scripts, and occasionally surface in public repositories.

What is secrets management

Secrets management is a cybersecurity best practice and set of tools for securely storing, managing, accessing, and rotating digital authentication credentials used by non-human identities such as applications, services, servers, and automated workloads.

Such secrets include passwords, passphrases, SSH, API and encryption keys, access tokens, digital certificates, and any other credentials that enable secure access to infrastructure.

Why secrets management matters

Protecting confidential information is a key priority for any business. Secrets require strict control at every stage of their lifecycle. That's just a few benefits of proper secrets management:

Centralized storage. All passwords, keys, and tokens are stored in a single protected repository, preventing them from ending up in open docs, scripts, or source code, reducing the risk of leaks and unauthorized access.
Flexible access management. The system allows individualized determination of who can access which secrets, whether individual employees, groups, or service accounts. This helps implement the principle of least privilege and reduces potential attack vectors.
Complete control and operational transparency. Every request is logged: you can track who, when, and what actions were performed. Auditing facilitates regulatory compliance and makes security processes maximally transparent.
Automated rotation. Passwords and keys are regularly updated automatically, on schedule or when threats are detected. This saves IT resources and reduces the likelihood of using outdated or compromised data.
Integration with infrastructure and DevOps. Access to secrets is provided through API, CLI, SDK, and plugins, simplifying system integration with CI/CD pipelines, cloud platforms, containers, and databases.
Rapid incident response. A centralized approach allows quick revocation or replacement of vulnerable secrets, minimizing incident consequences and preventing threat propagation within the company.

Without a unified solution, secrets often "wander" through configuration files and source code, complicating their updates and increasing compromise risks. Corporate password managers solve this task, but not all of them support the necessary automation for modern DevOps processes.

Passwork: More than a password manager

Passwork started as a corporate password manager — a simple and convenient tool for storing credentials. But modern IT teams need more: automation, integration, and programmatic access to secrets.

With Passwork 7, the platform evolved beyond traditional password storage into a full-fledged secrets management system.

API-first architecture

Passwork is built on API-first principles. This means that every function available in the UI is available through REST API.

The API provides programmatic access to all system functions: password management, vaults, folders, users, roles, tags, file attachments, and event logs. This enables you to automate access provisioning and revocation, update passwords programmatically, integrate Passwork into CI/CD pipelines, and export logs for analysis.

Two products in one

In other words, Passwork now combines two full-fledged products:

Password manager — intuitive interface for secure credential storage and team collaboration.
Secrets management system — programmatic access through REST API, Python connector, CLI, and Docker container for workflow automation.

Automation tools

Python connector

Passwork's official Python connector eliminates the complexity of working with low-level API calls and cryptography. Manage secrets through simple methods—no manual HTTP request handling or data transformations required.

Usage example:

from passwork_client import PassworkClient

client = PassworkClient(host="https://passwork.example.com")
client.set_tokens("ACCESS_TOKEN", "REFRESH_TOKEN")  # pass tokens
client.set_master_key("MASTER_KEY")  # master key for decryption

# create vault and password
vault_id = client.create_vault(vault_name="DevOps", type_id="vault_id_type")
password_data = {
    "Name": "Database PROD", 
    "vaultId": vault_id,
    "title": "DB prod",
    "login": "admin",
    "password": "secure-password",
    "url": "https://db.example.com"
}
password_id = client.create_item(password_data)

# retrieve and use password
secret = client.get_item(password_id)
print(secret['password'])

Key features:

Simple methods like create_item(), get_item(), create_vault() handle all operations; no manual HTTP requests needed
Client-side cryptography — master key never leaves your environment
Connector automatically saves, restores, and refreshes tokens
Universal call() method enables access to any API endpoint, even those without dedicated methods

The Python connector accelerates automation and integration without unnecessary complexity.

CLI utility

For shell script and CI/CD automation, Passwork CLI provides a universal tool with two operating modes:

exec — extracts secrets, creates environment variables, and runs your process. Passwords are never saved and are only available during execution.
api — calls any Passwork API method and returns JSON responses.

Key features:

Passwords injected as environment variables
Secrets automatically loaded in CI/CD pipelines
Temporary variables enable service account operations
Native integration with Ansible, Terraform, Jenkins, and similar tools

Usage examples

Retrieve a password and execute a command:

# Export environment variables
export PASSWORK_HOST="https://passwork.example.com"
export PASSWORK_TOKEN="your_token"
export PASSWORK_MASTER_KEY="your_master_key"

# Retrieve password by ID and run MySQL client
passwork-cli exec --password-id "db_password_id" mysql -u admin -h localhost -p $DB_PASSWORD database_name

Running script with multiple secrets:

passwork-cli exec \
  --password-id "db123,api456,storage789" \
  deploy.sh --db-pass=$DATABASE_PASSWORD --api-key=$API_KEY --storage-key=$STORAGE_KEY

Getting vault list through API:

passwork-cli api --method GET --endpoint "v1/vaults"

The CLI supports tag and folder filtering, custom fields, token refresh, and flexible configuration for diverse automation scenarios.

Docker container

For CI/CD integration, the official passwork/passwork-cli Docker image enables quick CLI launches in isolated environments.

Launch example:

docker run -it --rm \
  -e PASSWORK_HOST="https://passwork.example.com" \
  -e PASSWORK_TOKEN="your_access_token" \
  -e PASSWORK_MASTER_KEY="your_master_key" \
  passwork-cli exec --password-id "db_password_id" mysql -h db_host -u admin -p $DB_PASSWORD db_name

Key features:

Ready for GitLab, Bitbucket Pipelines, and docker-compose workflows
Secrets easily passed between containers

How we automate password rotation

Regular password changes are a fundamental security requirement, but manual rotation introduces risk and wastes time. Passwork enables complete automation through the Python connector.

Rotation workflow:

Retrieve current password from Passwork (get_item)
Generate new secure password
Change password in target system (e.g., ALTER USER for databases)
Update record in Passwork (update_item)
Notify team of completion

Example implementation:

from passwork_client import PassworkClient
import secrets
import psycopg2

def rotate_db_password(passwork_host, accessToken, refreshToken, master_key, password_id, db_params):
    client = PassworkClient(passwork_host)
    client.set_tokens(accessToken, refreshToken)
    client.set_master_key(master_key)
    
    secret = client.get_item(password_id)
    current_password = secret['password']
    new_password = secrets.token_urlsafe(32)
    
    conn = psycopg2.connect(
        dbname=db_params['db'], 
        user=db_params['user'],
        password=current_password, 
        host=db_params['host']
    )
    
    with conn.cursor() as cur:
        cur.execute(f"ALTER USER {db_params['user']} WITH PASSWORD '{new_password}'")
    conn.commit()
    
    client.update_item(password_id, {"password": new_password})
    print("Password successfully rotated and updated in Passwork")

Benefits:

Fully automated rotation eliminates manual actions and human error
New password immediately available to the entire team—no delays or communication gaps

Security: Zero knowledge and encryption

Passwork implements Zero knowledge architecture: the server never accesses secrets in plain text. Even administrators with full infrastructure access cannot read your data.

Server-side encryption — All secrets stored encrypted on the server. Suitable for internal networks and standard security requirements.
Client-side encryption (CSE) — Secrets encrypted on the client before transmission; only ciphertext reaches the server. Master key derived from user's master password. Essential for cloud deployments or strict compliance requirements.

Choosing your model:

Cloud deployment or strict compliance → Enable CSE
Internal network with standard requirements → Server-side encryption sufficient

Authorization and tokens

Passwork API uses a token pair: accessToken and refreshToken.

Access token — Short-lived credential for API requests
Refresh token — Enables automatic access token renewal without re-authorization

The Python connector handles token refresh automatically, ensuring stable integrations without manual intervention.

Security best practices:

Create dedicated service accounts — Assign minimal permissions, grant access only to required vaults and folders
Rotate tokens regularly — Set expiration policies and refresh credentials on schedule
Secure token storage — Use environment variables or dedicated secret vaults (never hardcode)
Enforce HTTPS — Always use encrypted connections for API communication

Conclusions

Passwork has evolved from a password manager into a comprehensive secrets management platform. The open API, Python connector, CLI, and Docker image enable seamless integration into any workflow while centralizing secrets with granular access control.

For administrators: Reliable storage with built-in automation capabilities.
For developers and DevOps: Production-ready API and tools for secure secrets handling.

Passwork consolidates what typically requires multiple solutions into a single system with unified management. This reduces operational overhead, simplifies rotation workflows, and provides IT and development teams with transparent security controls.

As a secrets management platform, Passwork delivers protected, scalable infrastructure that adapts to your organization's needs.

See how Passwork automates credential lifecycle management in your infrastructure. Get free demo with full API access.

Passwork: Secrets management and automation for DevOps

Product updates

Sep 24, 2025 — 2 min read

In the new version, we've improved the migration process from older versions of Passwork, enhanced descriptions in the Activity log, and made minor fixes to the UI and localization.

Improvements

Added a restriction that blocks users from changing their own authorization type
Improved migration to Passwork 7 for versions earlier than 5.3
Improved descriptions for certain events in the Activity log

Bug fixes

Fixed an issue where it was impossible to move a folder to the Bin via drag-and-drop if the "Access level required to copy folders and passwords" setting was set to "Action forbidden"
Fixed duplicate "Save settings" button in Vault settings
Fixed the display of parameter change indicators in Vault settings and User management in Safari browser
Fixed incorrect redirect to Recents after successful extension authorization

You can find all information about Passwork updates in our release notes

Passwork 7.1.4 release

Product guides

Sep 19, 2025 — 8 min read

Tresortypen

Passwork 7.1 führt eine robuste Tresortypen-Architektur ein, die unternehmensgerechte Zugangskontrolle für verbesserte Sicherheit und Verwaltung bietet. Tresortypen adressieren eine zentrale Herausforderung für Administratoren: die Kontrolle des Datenzugriffs und die Delegation der Tresorverwaltung in großen Organisationen. Bisher war die Auswahl auf zwei Typen beschränkt. Jetzt können Sie benutzerdefinierte Tresortypen erstellen, die auf jede Aufgabe oder Organisationsstruktur zugeschnitten sind.

Für jede Abteilung oder jedes Projekt können Sie einen dedizierten Tresortyp erstellen, spezifische Administratoren zuweisen, Ersteller-Berechtigungen festlegen und definieren, wer Tresore dieses Typs erstellen darf.

Beispielsweise können Sie separate Tresore für die IT-Abteilung, Finanzen, Personalwesen oder temporäre Projektteams erstellen. Administratoren, die einem bestimmten Tresortyp zugewiesen sind, werden automatisch zu allen neuen Tresoren dieses Typs hinzugefügt, was kontinuierliche Kontrolle und Transparenz gewährleistet.

Was sind Tresortypen

Tresortypen ermöglichen es Administratoren, Tresorvorlagen mit vordefinierten Zugriffsverwaltungseinstellungen zu erstellen. Für jeden Tresortyp können Sie spezifische Administratoren bestimmen, Ersteller-Berechtigungen konfigurieren und Regeln oder Einschränkungen für die Erstellung neuer Tresore festlegen.

Sie können Tresore nach Abteilung, Projekt oder Zugangslevel organisieren und so sicherstellen, dass Berechtigungen präzise zugewiesen werden

Wenn ein Tresor erstellt wird, erhalten die in den Tresortyp-Einstellungen angegebenen Administratoren automatisch Zugriff. Diese Administratoren können nicht entfernt oder herabgestuft werden, was sicherstellt, dass Schlüsselpersonen — wie Abteilungsleiter oder IT-Administratoren — stets die Kontrolle über kritische Daten behalten.

Grundlegende Tresortypen

Passwork verfügt über zwei grundlegende Tresortypen: Benutzertresore und Unternehmenstresore — diese können nicht gelöscht oder umbenannt werden:

Benutzertresore: Standardmäßig sind diese nur für ihre Ersteller zugänglich und werden entweder als privat oder geteilt kategorisiert. Ein privater Tresor wird geteilt, wenn der Besitzer dieses Tresors anderen Benutzern Zugriff gewährt.
Unternehmenstresore: Diese Tresore sind sowohl für den Ersteller als auch für Unternehmensadministratoren verfügbar, die automatisch Zugriff erhalten. Unternehmensadministratoren können nicht entfernt oder herabgestuft werden, was kontinuierliche Überwachung und Kontrolle gewährleistet.

Neben den grundlegenden Typen können Sie unbegrenzt benutzerdefinierte Tresortypen erstellen.

Vorteile von Tresortypen

Tresortypen ermöglichen es Passwork-Administratoren zu kontrollieren, wer Tresore erstellen kann, automatisch Administratoren zuzuweisen, die nicht entfernt werden können, und Ersteller-Berechtigungen effektiv zu verwalten.

Kontinuierliche Kontrolle: Neue Tresore eines bestimmten Typs enthalten automatisch nicht entfernbare Administratoren, was kontinuierlichen Zugriff auf kritische Daten und konsistente Sicherheitsstandards über alle Tresore desselben Typs gewährleistet.
Flexibilität bei Berechtigungen: Sie können Benutzern erlauben, Tresore zu erstellen, während Sie bestimmte Aktionen einschränken, wie z. B. das Verbot, andere Benutzer einzuladen.
Delegation: Tresortypen ermöglichen eine granulare Berechtigungsverteilung — beispielsweise kann der IT-Leiter IT-Tresore verwalten, während der Vertriebsleiter die Tresore der Vertriebsabteilung überwacht.
Audit und Analyse: Sehen Sie einfach alle Tresore im System zusammen mit ihren Typen und zugehörigen Benutzern ein und passen Sie Tresortypen bei Bedarf schnell an.
Vereinfachte Tresorerstellung: Keine Notwendigkeit, Berechtigungen jedes Mal von Grund auf neu zu konfigurieren.

Tresore aller Typen unterstützen eine mehrstufige, ordnerbasierte Struktur, die es Administratoren ermöglicht, Hierarchien mit verschachtelten Elementen zu erstellen

Tresortypen verwalten

Auf der Seite Tresoreinstellungen können Sie alle Tresortypen verwalten, ihre Liste einsehen und Berechtigungen für Aktionszugriffe konfigurieren. Der Zugriff auf diesen Bereich wird durch individuelle Rollen-Berechtigungen gesteuert, was sicherstellt, dass nur autorisierte Benutzer kritische Einstellungen ändern können.

Tresortypen erstellen

Sie können aus grundlegenden Tresortypen wählen oder eigene benutzerdefinierte Typen erstellen. Um einen benutzerdefinierten Tresortyp einzurichten, klicken Sie auf Tresortyp erstellen.

Das Fenster zur Tresortyp-Erstellung bietet folgende Optionen:

Name — geben Sie den Namen des Tresortyps an.
Administratoren — wählen Sie Benutzer aus, die automatisch zu allen Tresoren dieses Typs mit Administrator-Berechtigungen hinzugefügt werden.
Ersteller-Zugriff — definieren Sie das Zugangslevel, das Benutzern gewährt wird, die Tresore dieses Typs erstellen. Beispielsweise können Sie Mitarbeitern erlauben, Tresore zu erstellen, ohne ihnen zu gestatten, andere Benutzer einzuladen.
Wer kann Tresore erstellen — bestimmen Sie, wer Tresore dieses Typs erstellen darf: bestimmte Benutzer, Gruppen, Rollen oder alle Benutzer.

Tresortypen bearbeiten

Benutzer mit Zugriff auf den Reiter Tresortypen können Tresortypen ändern, indem sie diese umbenennen, Administratoren hinzufügen oder entfernen und Tresorerstellungs-Berechtigungen aktualisieren. Um einen Tresortyp zu bearbeiten, wählen Sie ihn aus der Liste aller Typen aus und passen Sie die erforderlichen Felder an.

Wenn ein Benutzer als Administrator zu einem bestehenden Tresortyp hinzugefügt wird, müssen Sie die Anfrage bestätigen, um ihm Zugriff auf die entsprechenden Tresore zu gewähren.

Wichtig: Wenn Sie einen Administrator aus einem Tresortyp entfernen, behält dieser seinen Zugriff auf alle bestehenden Tresore dieses Typs. Sie können ihn jedoch anschließend aus einzelnen Tresoren entfernen oder seine Berechtigungen ändern.

Tresortypen löschen

Um einen Tresortyp zu löschen, wählen Sie einen oder mehrere Typen im Reiter Tresortypen aus und klicken Sie auf Löschen im Dropdown-Menü oben in der Liste.

Wichtig: Ein Tresortyp kann nicht gelöscht werden, wenn mindestens ein bestehender Tresor dieses Typs existiert.

Audit und Tresortyp-Änderung

Im Reiter Alle Tresore können Sie alle Tresore zusammen mit ihren Typen, Benutzerlisten und Administratoren einsehen. Zusätzlich können Sie den Typ eines Tresors schnell ändern — beispielsweise wenn eine Abteilung reorganisiert wird oder ein neues Projekt erstellt wird.

Sie haben die Möglichkeit, Tresore nach Typ zu filtern oder nur diejenigen anzuzeigen, auf die Sie Zugriff haben.

Einstellungen

Der Reiter Einstellungen ermöglicht es, das erforderliche Mindestzugangslevel für die Ausführung bestimmter Aktionen innerhalb von Verzeichnissen zu definieren sowie die maximale Dateigröße für Anhänge festzulegen, die mit Passwörtern verknüpft sind.

Migration von früheren Versionen

Bei der Migration von früheren Versionen können Sie importierten Tresoren im Tresor-Import-Fenster einen Tresortyp zuweisen, sofern Sie die Option wählen, in das Stammverzeichnis zu importieren.

Beim Upgrade von Passwork 6 auf Version 7 konvertiert das System bestehende Tresore automatisch:

Private Tresore bleiben privat und erhalten den Typ Benutzertresore. Ihre Berechtigungen und Zugriffsrechte bleiben unverändert.
Geteilte Tresore erhalten ebenfalls den Typ Benutzertresore. Alle Benutzer und ihre Berechtigungen bleiben erhalten.
Organisationstresore werden in den Unternehmens-Tresortyp konvertiert. Administratoren werden wiederhergestellt und werden nicht entfernbar, wobei die Zugriffsstruktur erhalten bleibt.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Tresortypen und regulären Tresoren? Reguläre Tresore sind Container zur Speicherung von Passwörtern. Tresortypen sind Regeln und Vorlagen, die definieren, wie Tresore eines bestimmten Typs erstellt und verwaltet werden.
Ist die Verwendung von Tresortypen obligatorisch? Nein, die Verwendung benutzerdefinierter Tresortypen ist nicht obligatorisch. Sie haben immer Zugang zu grundlegenden Typen: private Tresore für persönliche Passwörter und geteilte Tresore für Passwörter, die Benutzer selbstständig teilen.

Für komplexe Unternehmensstrukturen und Zugriffsrichtlinien empfehlen wir die Erstellung benutzerdefinierter Tresortypen — dies gewährleistet das erforderliche Maß an Kontrolle und die Einhaltung von Sicherheitsanforderungen

Wie unterscheiden sich Unternehmensadministratoren von regulären Administratoren? Unternehmensadministratoren sind Benutzer, die automatisch Administratorrechte in allen Tresoren eines bestimmten Typs erhalten. Die Zuweisung von Unternehmensadministratoren gewährleistet permanente Kontrolle über kritische Daten.

Hauptmerkmale: Administratoren werden bei der Erstellung automatisch zu Tresoren hinzugefügt, sie können nicht entfernt werden oder ihr Zugangslevel herabgestuft werden, und Änderungen am Tresortyp gelten für alle Tresore dieses Typs.

Kann ich Administratoren in einem bestehenden Typ ändern? Ja, Sie können die Liste der Administratoren in den Tresortyp-Einstellungen ändern. Beim Hinzufügen eines neuen Benutzers erstellt das System automatisch Anfragen, den neuen Administrator zu allen bestehenden Tresoren dieses Typs hinzuzufügen.

Um einen Benutzer zu entfernen aus den Unternehmensadministratoren, löschen Sie ihn aus der Administratorenliste des Tresortyps und, falls erforderlich, aus allen Tresoren dieses Typs. Solange ein Administrator im Tresortyp angegeben ist, kann er nicht aus einzelnen Tresoren entfernt werden.

Wie schränke ich ein, wer Tresore eines bestimmten Typs erstellen kann? Beim Erstellen oder Bearbeiten eines Tresortyps gehen Sie zu Wer kann Tresore erstellen und wählen Sie eine der Optionen: Alle Benutzer — jeder Benutzer kann einen Tresor dieses Typs erstellen, oder eingeschränkter Zugang — nur ausgewählte Benutzer, Rollen oder Gruppen.
Kann ich den Typ eines bestehenden Tresors ändern? Ja, Sie können den Typ eines bestehenden Tresors ändern, aber nur wenn Sie Administratorrechte in diesem Tresor haben. Beim Ändern des Typs werden Unternehmensadministratoren des neuen Typs automatisch zum Tresor hinzugefügt, neue Zugriffsregeln werden angewendet und Benutzerverbindungsanfragen werden erstellt.
Warum kann ich bestimmte Administratoren nicht aus einem Tresor entfernen? Wenn Sie Administratoren nicht aus einem Tresor entfernen können, handelt es sich um Unternehmensadministratoren. Unternehmensadministratoren können nur durch Ändern der entsprechenden Tresortyp-Einstellung entfernt werden (erfordert Administratorrechte).

Grundlegende Anwendungsfälle

Erstellung privater Tresore verbieten

Aufgabe: Mitarbeiter daran hindern, private Tresore zu erstellen.
Lösung: Öffnen Sie in den Tresoreinstellungen den Typ Benutzertresore. Entfernen Sie unter Wer kann Tresore erstellen alle Benutzer oder belassen Sie nur diejenigen, die dieses Recht behalten sollen.

Tresore mit obligatorischen Administratoren

Aufgabe: Alle von Benutzern erstellten Tresore müssen Unternehmensadministratoren enthalten.
Lösung: Erstellen Sie in den Tresoreinstellungen einen oder mehrere neue Tresortypen. Fügen Sie im Abschnitt Administratoren die erforderlichen Benutzer (Unternehmensadministratoren) hinzu — sie werden automatisch zu allen Tresoren dieses Typs mit Rechten hinzugefügt, die nicht geändert oder widerrufen werden können. Verbieten Sie die Erstellung anderer Tresortypen.

Erstellung privater Tresore ohne Benutzereinladungsrechte

Aufgabe: Benutzern erlauben, eigene Tresore zu erstellen, aber das Einladen anderer Benutzer verbieten.
Lösung: Erstellen Sie in den Tresoreinstellungen einen neuen Typ mit dem Zugangslevel „Vollständiger Zugang" für den Ersteller — dieses Level verbietet das Hinzufügen anderer Benutzer.

Delegation administrativer Verantwortlichkeiten

Aufgabe: Das System so konfigurieren, dass verschiedene Abteilungen oder Projekte ihre eigenen Administratoren haben.
Lösung: Erstellen Sie in den Tresoreinstellungen separate Typen für jede Abteilung und fügen Sie entsprechende Rollen hinzu.

Tresorverwaltung einschränken

Aufgabe: Administratoren daran hindern, die Liste aller Tresore einzusehen, Tresortypen zu verwalten und Zugangslevel-Einstellungen zu ändern.
Lösung: Öffnen Sie in den Rolleneinstellungen die Administrator-Rolle. Deaktivieren Sie im Abschnitt Tresore die erforderlichen Berechtigungen — Sie können den Zugriff auf den Bereich mit der Liste aller Tresore oder auf die gesamte Seite Tresoreinstellungen einschränken.

Fazit: Datenkontrolle und Effizienz

Tresortypen adressieren eine zentrale Herausforderung für wachsende Unternehmen: die Kontrolle des Datenzugriffs ohne Überlastung der IT-Abteilung. Administratoren erhalten automatisch Zugriff auf neue Tresore ihres Typs, während Abteilungsleiter Daten eigenständig verwalten können. Passwork skaliert mit Ihrer Organisation und stellt sicher, dass Daten sicher bleiben, Prozesse automatisiert sind und Mitarbeiter effizient arbeiten können.

Bereit für den ersten Schritt? Testen Sie Passwork mit einer kostenlosen Demo und erkunden Sie praktische Möglichkeiten, Ihr Unternehmen zu schützen.

Weiterführende Lektüre

Passwork 7.1: Tresortypen

Product guides

Sep 19, 2025 — 9 min read

Tipos de bóvedas

Passwork 7.1 introduce una arquitectura robusta de tipos de bóvedas, proporcionando control de acceso de nivel empresarial para una seguridad y gestión mejoradas. Los tipos de bóvedas abordan un desafío clave para los administradores: controlar el acceso a los datos y delegar la gestión de bóvedas en organizaciones grandes. Anteriormente, la elección se limitaba a dos tipos. Ahora, puede crear tipos de bóvedas personalizados adaptados a cualquier tarea o estructura organizativa.

Para cada departamento o proyecto, puede crear un tipo de bóveda dedicado, asignar administradores específicos, elegir los permisos del creador y definir quién puede crear bóvedas de este tipo.

Por ejemplo, puede crear bóvedas separadas para el departamento de TI, finanzas, recursos humanos o equipos de proyectos temporales. Los administradores asignados a un tipo de bóveda específico se añadirán automáticamente a todas las nuevas bóvedas de este tipo, asegurando un control y transparencia constantes.

Qué son los tipos de bóvedas

Los tipos de bóvedas permiten a los administradores establecer plantillas de bóvedas con configuraciones de gestión de acceso predefinidas. Para cada tipo de bóveda, puede designar administradores específicos, configurar los permisos del creador de la bóveda y establecer reglas o restricciones para crear nuevas bóvedas.

Puede organizar las bóvedas por departamento, proyecto o nivel de acceso, asegurando que los permisos se asignen con precisión

Cuando se crea una bóveda, los administradores especificados en la configuración del tipo de bóveda reciben acceso automáticamente. Estos administradores no pueden ser eliminados ni degradados, asegurando que el personal clave — como jefes de departamento o administradores de TI — siempre mantenga el control sobre los datos críticos.

Tipos de bóvedas básicos

Passwork tiene dos tipos de bóvedas básicos: Bóvedas de usuario y Bóvedas de empresa — no pueden eliminarse ni renombrarse:

Bóvedas de usuario: Por defecto, estas solo son accesibles para sus creadores y se categorizan como privadas o compartidas. Una bóveda privada se convierte en compartida cuando el propietario de esta bóveda otorga acceso a otros usuarios.
Bóvedas de empresa: Estas bóvedas están disponibles tanto para el creador como para los administradores corporativos, quienes reciben acceso automáticamente. Los administradores corporativos no pueden ser eliminados ni degradados, asegurando una supervisión y control continuos.

Además de los tipos básicos, puede crear tipos de bóvedas personalizados ilimitados.

Ventajas de los tipos de bóvedas

Los tipos de bóvedas permiten a los administradores de Passwork controlar quién puede crear bóvedas, asignar automáticamente administradores que no pueden ser eliminados y gestionar eficazmente los permisos de los creadores.

Control constante: Las nuevas bóvedas de un tipo específico incluyen automáticamente administradores no eliminables, asegurando un acceso continuo a los datos críticos y estándares de seguridad consistentes en todas las bóvedas del mismo tipo.
Flexibilidad de permisos: Puede permitir que los usuarios creen bóvedas mientras restringe ciertas acciones, como prohibirles invitar a otros usuarios.
Delegación: Los tipos de bóvedas permiten una distribución granular de permisos — por ejemplo, el director de TI puede gestionar las bóvedas de TI, mientras que el director de ventas supervisa las bóvedas del departamento de ventas.
Auditoría y análisis: Vea fácilmente todas las bóvedas del sistema, junto con sus tipos y usuarios asociados, y ajuste rápidamente los tipos de bóvedas según sea necesario.
Creación de bóvedas simplificada: No es necesario configurar los permisos desde cero cada vez.

Las bóvedas de todos los tipos admiten una estructura multinivel basada en carpetas, lo que permite a los administradores crear jerarquías con elementos anidados

Gestión de tipos de bóvedas

En la página Configuración de bóvedas, puede gestionar todos los tipos de bóvedas, ver su lista y configurar los permisos de acceso a acciones. El acceso a esta sección está controlado por permisos de rol individuales, asegurando que solo los usuarios autorizados puedan modificar configuraciones críticas.

Creación de tipos de bóvedas

Puede elegir entre los tipos de bóvedas básicos o crear sus propios tipos personalizados. Para configurar un tipo de bóveda personalizado, haga clic en Crear tipo de bóveda.

La ventana de creación de tipo de bóveda ofrece las siguientes opciones:

Nombre — especifique el nombre del tipo de bóveda.
Administradores — seleccione los usuarios que se añadirán automáticamente a todas las bóvedas de este tipo con permisos de administrador.
Acceso del creador — defina el nivel de acceso otorgado a los usuarios que crean bóvedas de este tipo. Por ejemplo, puede permitir que los empleados creen bóvedas sin permitirles invitar a otros usuarios.
Quién puede crear bóvedas — determine quién puede crear bóvedas de este tipo: usuarios específicos, grupos, roles o todos los usuarios.

Edición de tipos de bóvedas

Los usuarios con acceso a la pestaña Tipos de bóvedas pueden modificar los tipos de bóvedas renombrándolos, añadiendo o eliminando administradores y actualizando los permisos de creación de bóvedas. Para editar un tipo de bóveda, selecciónelo de la lista de todos los tipos y ajuste los campos necesarios.

Si se añade un usuario como administrador a un tipo de bóveda existente, debe confirmar la solicitud para otorgarle acceso a las bóvedas correspondientes.

Importante: Cuando elimina un administrador de un tipo de bóveda, este mantiene su acceso a todas las bóvedas existentes de ese tipo. Sin embargo, puede eliminarlo de las bóvedas individuales o cambiar sus permisos.

Eliminación de tipos de bóvedas

Para eliminar un tipo de bóveda, seleccione uno o más tipos en la pestaña Tipos de bóvedas y haga clic en Eliminar en el menú desplegable en la parte superior de la lista.

Importante: El tipo de bóveda no puede eliminarse si existe al menos una bóveda de ese tipo.

Auditoría y cambio de tipo de bóveda

En la pestaña Todas las bóvedas, puede ver todas las bóvedas junto con sus tipos, listas de usuarios y administradores. Además, puede cambiar rápidamente el tipo de una bóveda — por ejemplo, cuando se reorganiza un departamento o se crea un nuevo proyecto.

Tiene la opción de filtrar las bóvedas por tipo o mostrar solo aquellas a las que tiene acceso.

Configuración

La pestaña Configuración permite definir el nivel de acceso mínimo requerido para realizar acciones específicas dentro de los directorios, así como establecer el tamaño máximo de archivo para los adjuntos vinculados a contraseñas.

Migración desde versiones anteriores

Al migrar desde versiones anteriores, puede asignar un tipo de bóveda a las bóvedas importadas en la ventana de importación de bóvedas, siempre que elija la opción de importar al directorio raíz.

Al actualizar de Passwork 6 a la versión 7, el sistema convierte automáticamente las bóvedas existentes:

Las bóvedas privadas permanecen privadas y reciben el tipo Bóvedas de usuario. Sus permisos y derechos de acceso permanecen sin cambios.
Las bóvedas compartidas también reciben el tipo Bóvedas de usuario. Todos los usuarios y sus permisos se conservan.
Las bóvedas de organización se convierten al tipo de bóveda de empresa. Los administradores se restauran y se vuelven no eliminables, con la estructura de acceso conservada.

Preguntas frecuentes

¿Cuál es la diferencia entre los tipos de bóvedas y las bóvedas normales? Las bóvedas normales son contenedores para almacenar contraseñas. Los tipos de bóvedas son reglas y plantillas que definen cómo se crean y gestionan las bóvedas de un tipo específico.
¿Es obligatorio usar tipos de bóvedas? No, usar tipos de bóvedas personalizados no es obligatorio. Siempre tendrá acceso a los tipos básicos: bóvedas privadas para contraseñas personales y bóvedas compartidas para contraseñas que los usuarios comparten de forma independiente.

Para estructuras corporativas complejas y políticas de acceso, se recomienda crear tipos de bóvedas personalizados — esto garantiza el nivel de control necesario y el cumplimiento de los requisitos de seguridad

¿En qué se diferencian los administradores corporativos de los normales? Los administradores corporativos son usuarios que reciben automáticamente derechos de administrador en todas las bóvedas de un tipo específico. Asignar administradores corporativos garantiza un control permanente sobre los datos críticos.

Características clave: los administradores se añaden a las bóvedas automáticamente en el momento de la creación, no pueden ser eliminados ni tener su nivel de acceso degradado, y los cambios en el tipo de bóveda se aplican a todas las bóvedas de ese tipo.

¿Puedo cambiar los administradores en un tipo existente? Sí, puede modificar la lista de administradores en la configuración del tipo de bóveda. Al añadir un nuevo usuario, el sistema crea automáticamente solicitudes para añadir al nuevo administrador a todas las bóvedas existentes de ese tipo.

Para eliminar un usuario de los administradores corporativos, elimínelo de la lista de administradores del tipo de bóveda y, si es necesario, de todas las bóvedas de ese tipo. Mientras un administrador esté especificado en el tipo de bóveda, no puede ser eliminado de las bóvedas individuales.

¿Cómo restrinjo quién puede crear bóvedas de un tipo específico? Al crear o editar un tipo de bóveda, vaya a Quién puede crear bóvedas y elija una de las opciones: Todos los usuarios — cualquier usuario puede crear una bóveda de este tipo, o acceso limitado — solo usuarios, roles o grupos seleccionados.
¿Puedo cambiar el tipo de una bóveda existente? Sí, puede cambiar el tipo de una bóveda existente, pero solo si tiene derechos de administrador en esa bóveda. Al cambiar el tipo, los administradores corporativos del nuevo tipo se añaden automáticamente a la bóveda, se aplican las nuevas reglas de acceso y se crean solicitudes de conexión de usuarios.
¿Por qué no puedo eliminar ciertos administradores de una bóveda? Si no puede eliminar administradores de una bóveda, son administradores corporativos. Los administradores corporativos solo pueden ser eliminados cambiando la configuración del tipo de bóveda correspondiente (requiere derechos de administrador).

Casos de uso básicos

Prohibir la creación de bóvedas privadas

Tarea: Impedir que los empleados creen bóvedas privadas.
Solución: En Configuración de bóvedas, abra el tipo Bóvedas de usuario. En Quién puede crear bóvedas, elimine a todos los usuarios o deje solo a aquellos que necesiten conservar este derecho.

Bóvedas con administradores obligatorios

Tarea: Todas las bóvedas creadas por usuarios deben incluir administradores corporativos.
Solución: En Configuración de bóvedas, cree uno o más nuevos tipos de bóvedas. En la sección Administradores, añada los usuarios requeridos (administradores corporativos) — estos se añadirán automáticamente a todas las bóvedas de este tipo con derechos que no pueden ser cambiados ni revocados. Prohíba la creación de otros tipos de bóvedas.

Creación de bóvedas privadas sin derechos de invitación de usuarios

Tarea: Permitir que los usuarios creen sus propias bóvedas pero prohibir invitar a otros usuarios.
Solución: En Configuración de bóvedas, cree un nuevo tipo con nivel de acceso completo para el creador — este nivel prohíbe añadir a otros usuarios.

Delegación de responsabilidades administrativas

Tarea: Configurar el sistema para que diferentes departamentos o proyectos tengan sus propios administradores.
Solución: En Configuración de bóvedas, cree tipos separados para cada departamento y añada los roles correspondientes.

Limitar la gestión de bóvedas

Tarea: Impedir que los administradores vean la lista de todas las bóvedas, gestionen los tipos de bóvedas y la configuración de niveles de acceso.
Solución: En la configuración de roles, abra el rol de Administrador. En la sección Bóvedas, deshabilite los permisos necesarios — puede restringir el acceso a la sección con la lista de todas las bóvedas o a toda la página de Configuración de bóvedas.

Conclusión: Control de datos y eficiencia

Los tipos de bóvedas abordan un desafío clave para las empresas en crecimiento: controlar el acceso a los datos sin sobrecargar al departamento de TI. Los administradores obtienen automáticamente acceso a las nuevas bóvedas de su tipo, mientras que los jefes de departamento pueden gestionar los datos de forma independiente. Passwork escala con su organización, asegurando que los datos permanezcan seguros, los procesos estén automatizados y los empleados puedan trabajar eficientemente.

¿Listo para dar el primer paso? Pruebe Passwork con una demostración gratuita y explore formas prácticas de proteger su negocio.

Lecturas adicionales

Passwork 7.1: Tipos de bóvedas

Product guides

Sep 19, 2025 — 8 min read

Vault types

Passwork 7.1 introduces a robust vault types architecture, providing enterprise-grade access control for enhanced security and management. Vault types address a key challenge for administrators: controlling data access and delegating vault management across large organizations. Previously, the choice was limited to two types. Now, you can create custom vault types tailored to any task or organizational structure.

For each department or project, you can create a dedicated vault type, assign specific administrators, choose creator permissions, and define who can create vaults of this type.

For example, you can create separate vaults for IT department, finance, HR, or temporary project teams. Administrators assigned to a specific vault type will be automatically added to all new vaults of this type, ensuring constant control and transparency.

What are vault types

Vault types allow administrators to establish vault templates with predefined access management settings. For each vault type, you can designate specific administrators, configure vault creator permissions, and set rules or restrictions for creating new vaults.

You can organize vaults by department, project, or access level, ensuring that permissions are assigned accurately

When a vault is created, administrators specified in the vault type settings are automatically granted access. These administrators cannot be removed or demoted, ensuring that key personnel — such as department heads or IT administrators — always retain control over critical data.

Basic vault types

Passwork has two basic vault types: User vaults and Company vaults — they cannot be deleted or renamed:

User vaults: By default, these are accessible only to their creators and are categorized as either private or shared. A private vault becomes shared when the owner of this vault grants access to other users.
Company vaults: These vaults are available to both the creator and corporate administrators, who are automatically assigned access. Corporate administrators cannot be removed or demoted, ensuring continuous oversight and control.

Besides basic types, you can create unlimited custom vault types.

Advantages of vault types

Vault types empower Passwork administrators to control who can create vaults, automatically assign administrators who cannot be removed, and effectively manage creator permissions.

Constant control: New vaults of a specific type automatically include non-removable administrators, ensuring continuous access to critical data and consistent security standards across all vaults of the same type.
Permission flexibility: You can allow users to create vaults while restricting certain actions, such as prohibiting them from inviting other users.
Delegation: Vault types enable granular permission distribution — for example, the IT director can manage IT vaults, while the sales director oversees sales department vaults.
Audit and analysis: Easily view all vaults in the system, along with their types and associated users, and quickly adjust vault types as needed.
Streamlined vault creation: No need to configure permissions from scratch each time.

Vaults of all types support a multi-level, folder-based structure, allowing administrators to create hierarchies with nested elements

Managing vault types

On the Vault settings page, you can manage all vault types, view their list, and configure action access permissions. Access to this section is controlled by individual role permissions, ensuring that only authorized users can modify critical settings.

Creating vault types

You can choose from basic vault types or create your own custom types. To set up a custom vault type, click Create vault type.

The vault type creation window offers the following options:

Name — specify the vault type name.
Administrators — select users who will be automatically added to all vaults of this type with Administrator permissions.
Creator access — define the access level granted to users who create vaults of this type. For example, you can allow employees to create vaults without permitting them to invite other users.
Who can create vaults — determine who is allowed to create vaults of this type: specific users, groups, roles, or all users.

Editing vault types

Users with access to the Vault types tab can modify vault types by renaming them, adding or removing administrators, and updating vault creation permissions. To edit a vault type, select it from the list of all types and adjust the necessary fields.

If a user is added as an administrator to an existing vault type, you must confirm the request to grant them access to the corresponding vaults.

Important: When you remove an administrator from a vault type, they keep their access to all existing vaults of that type. However, you can then remove them from individual vaults or change their permissions.

Deleting vault types

To delete a vault type, select one or more types on the Vault types tab and click Delete in the dropdown menu at the top of the list.

Important: Vault type cannot be deleted if there is at least one existing vault of that type.

Audit and vault type change

On the All vaults tab, you can view all vaults along with their types, user lists, and administrators. Additionally, you can quickly change a vault’s type — for example, when a department is reorganized or a new project is created.

You have the option to filter vaults by type or display only those to which you have access.

Settings

The Settings tab makes it possible to define the minimum required access level for performing specific actions within directories, as well as set the maximum file size for attachments linked to passwords.

Migration from previous versions

When migrating from previous versions, you can assign a vault type to imported vaults in the vault import window, provided you choose the option to import to the root directory.

When upgrading from Passwork 6 to version 7, the system automatically converts existing vaults:

Private vaults remain private and receive the User vaults type. Your permissions and access rights remain unchanged.
Shared vaults also receive the User vaults type. All users and their permissions are preserved.
Organization vaults are converted to company vault type. Administrators are restored and become non-removable, with the access structure preserved.

Frequently asked questions

What's the difference between vault types and regular vaults? Regular vaults are containers for storing passwords. Vault types are rules and templates that define how vaults of a specific type are created and managed.
Is it mandatory to use vault types? No, using custom vault types is not mandatory. You'll always have access to basic types: private vaults for personal passwords and shared vaults for passwords users share independently.

For complex corporate structures and access policies, we recommend creating custom vault types — this ensures the necessary level of control and compliance with security requirements

How do corporate administrators differ from regular ones? Corporate administrators are users who automatically receive administrator rights in all vaults of a specific type. Assigning corporate administrators ensures permanent control over critical data.

Key features: administrators are added to vaults automatically upon creation, they cannot be removed or have their access level downgraded, and changes to the vault type apply to all vaults of that type.

Can I change administrators in an existing type? Yes, you can modify the list of administrators in the vault type settings. When adding a new user, the system automatically creates requests to add the new administrator to all existing vaults of that type.

To remove a user from corporate administrators, delete them from the vault type's administrator list and, if necessary, from all vaults of that type. As long as an administrator is specified in the vault type, they cannot be removed from individual vaults.

How do I restrict who can create vaults of a specific type? When creating or editing a vault type, go to Who can create vaults and choose one of the options: All users — any user can create a vault of this type, or limited access — only selected users, roles, or groups.
Can I change the type of an existing vault? Yes, you can change an existing vault's type, but only if you have administrator rights in that vault. When changing the type, corporate administrators of the new type are automatically added to the vault, new access rules are applied, and user connection requests are created.
Why can't I remove certain administrators from a vault? If you cannot remove administrators from a vault, they are corporate administrators. Corporate administrators can only be removed by changing the corresponding vault type setting (requires administrator rights).

Basic use cases

Prohibit private vaults creation

Task: Prevent employees from creating private vaults.
Solution: In Vault settings, open the User vaults type. In Who can create vaults, remove all users or leave only those who need to retain this right.

Vaults with mandatory administrators

Task: All vaults created by users must include corporate administrators.
Solution: In Vault settings, create one or more new vault types. In the Administrators section, add the required users (corporate administrators) — they will automatically be added to all vaults of this type with rights that cannot be changed or revoked. Prohibit creation of other vault types.

Private vaults creation without user invitation rights

Task: Allow users to create their own vaults but prohibit inviting other users.
Solution: In Vault settings, create a new type with Full access level for the creator—this level prohibits adding other users.

Delegating administrative responsibilities

Task: Configure the system so different departments or projects have their own administrators.
Solution: In Vault settings, create separate types for each department and add corresponding roles.

Limit vault management

Task: Prevent administrators from viewing the list of all vaults, managing vault types, and access level settings.
Solution: In role settings, open the Administrator role. In the Vaults section, disable the necessary permissions — you can restrict access to the section with the list of all vaults or to the entire Vault settings page.

Conclusion: Data control and efficiency

Vault types address a key challenge for growing companies: controlling data access without overwhelming the IT department. Administrators automatically gain access to new vaults of their type, while department heads can manage data independently. Passwork scales with your organization, ensuring data remains secure, processes are automated, and employees can work efficiently.

Ready to take the first step? Try Passwork with a free demo and explore practical ways to protect your business.

Passwork 7.1: Vault types

Product updates

Sep 18, 2025 — 2 min read

Version 2.0.27

Verbesserter Clickjacking-Schutz: Blockierung von Klicks auf versteckte Elemente sowie Überprüfung auf Elementüberlappung und CSS-Transformationen hinzugefügt
Ein Problem beim Folgen eines Links aus einer Benachrichtigung zu einem gelöschten Tresor oder Passwort wurde behoben
Ein Problem, das zum Abmelden der Erweiterung führen konnte, wurde behoben

Änderungen in den Versionen 2.0.25 und 2.0.26

In Version 2.0.25 wurde das Pop-up-Fenster für automatisches Ausfüllen deaktiviert, um die Widerstandsfähigkeit der Erweiterung gegen Clickjacking-Angriffe zu testen. Außerdem wurden Warnungen zu verdächtigen Elementen auf Webseiten hinzugefügt.
In Version 2.0.26 sind Pop-ups für automatisches Ausfüllen wieder verfügbar, und diese können jetzt für die gesamte Organisation deaktiviert werden. Die Erweiterung erkennt und blockiert automatisch die gängigsten Clickjacking-Methoden.

Pop-up-Vorschläge für automatisches Ausfüllen können durch Anpassen der Einstellung Content scripts im Abschnitt Browser extension der Systemeinstellungen deaktiviert werden (verfügbar ab Passwork 7.1.2).

Die Browser-Erweiterung ist verfügbar für Google Chrome, Microsoft Edge, Mozilla Firefox und Safari.

Browser-Erweiterung 2.0.26 veröffentlicht

Product updates

Sep 18, 2025 — 3 min read

Versión 2.0.27

Protección contra clickjacking mejorada: se añadió el bloqueo de clics en elementos ocultos y la verificación de superposición de elementos y transformaciones CSS
Se corrigió un problema al seguir un enlace desde una notificación hacia una bóveda o contraseña eliminada
Se corrigió un problema que podía causar el cierre de sesión de la extensión

Cambios en las versiones 2.0.25 y 2.0.26

En la versión 2.0.25, se deshabilitó la ventana emergente que ofrece autocompletado para probar la resistencia de la extensión contra ataques de clickjacking. También se añadieron advertencias sobre elementos sospechosos en páginas web.
En la versión 2.0.26, las ventanas emergentes de autocompletado están disponibles nuevamente, y ahora puede deshabilitarlas para toda la organización. La extensión detecta y bloquea automáticamente los métodos de clickjacking más comunes.

Puede deshabilitar las sugerencias emergentes de autocompletado ajustando la configuración de Content scripts en la sección Browser extension de los ajustes del sistema (disponible a partir de Passwork 7.1.2).

La extensión de navegador está disponible para Google Chrome, Microsoft Edge, Mozilla Firefox y Safari.

Lanzamiento de la extensión de navegador 2.0.26

Product updates

Sep 18, 2025 — 2 min read

Version 2.0.27

Further improved clickjacking protection: added blocking of clicks on hidden elements and checking for element overlap and CSS transformations
Fixed an issue when following a link from a notification to a deleted vault or password
Fixed an issue that could cause the extension to log out

Changes in versions 2.0.25 and 2.0.26

In version 2.0.25, pop-up window offering autofill was disabled to test the extension’s resistance to clickjacking attacks. Warnings about suspicious elements on webpages were also added.
In version 2.0.26, autofill pop-ups are available again, and you can now disable them for the entire organization. The extension automatically detects and blocks most common clickjacking methods.

You can disable pop-up autofill suggestions by adjusting the Content scripts setting in the Browser extension section of the system settings (available starting from Passwork 7.1.2).

The browser extension is available for Google Chrome, Microsoft Edge, Mozilla Firefox, and Safari.

Browser extension 2.0.26 release

Product updates

Sep 18, 2025 — 2 min read

Das Update Passwork 7.1.3 ist im Kundenportal verfügbar.

Ein Problem wurde behoben, bei dem das Zugangslevel eines Benutzers in Tresoren unverändert blieb, nachdem der Benutzer als Administrator für diesen Tresortyp hinzugefügt wurde

Alle Informationen zu Passwork-Updates finden Sie in unserer technischen Dokumentation.

Passwork 7.1.3 Release

Product updates

Sep 18, 2025 — 2 min read

La actualización Passwork 7.1.3 está disponible en el portal de clientes.

Se corrigió un problema en el que el nivel de acceso de un usuario en las bóvedas permanecía sin cambios después de que el usuario fuera añadido como administrador para ese tipo de bóveda.

Puede encontrar toda la información sobre las actualizaciones de Passwork en nuestra documentación técnica.

Lanzamiento de Passwork 7.1.3

Product updates

Sep 18, 2025 — 2 min read

Passwork 7.1.3 update is available in the Customer portal.

Fixed an issue where a user's access level in vaults remained unchanged after the user was added as an administrator for that vault type

You can find all information about Passwork updates in our technical documentation.

Passwork 7.1.3 release

Product updates

Sep 12, 2025 — 2 min read

Das Update Passwork 7.1.2 ist im Kundenportal verfügbar.

Option zum Deaktivieren von Erweiterungs-Content-Skripten auf Organisationsebene hinzugefügt
Option zum Importieren von Passwörtern ohne Namen hinzugefügt
Detailliertere Beschreibungen für einige Aktionen im Aktivitätsprotokoll hinzugefügt
Einschränkung für clientseitige Änderungen an Berechtigungen und Einstellungen der eigenen Rolle hinzugefügt
Fehlerhaftes Suchverhalten beim Hinzufügen von Benutzern zu einem Tresor oder Ordner behoben
Problem behoben, das dazu führte, dass die Tabs „Aktionsverlauf" und „Versionen" unter bestimmten Umständen nicht angezeigt wurden
Problem behoben, das zum Fehlschlagen des Downloads von Passwort-Anhängen führte, wenn die Hashes nicht übereinstimmten

Alle Informationen zu Passwork-Updates finden Sie in unserer technischen Dokumentation.

Passwork 7.1.2 Release

Product updates

Sep 12, 2025 — 2 min read

La actualización Passwork 7.1.2 está disponible en el portal de clientes.

Se añadió una opción para desactivar los scripts de contenido de la extensión a nivel de organización
Se añadió una opción para importar contraseñas sin nombres
Se añadieron más detalles a algunas de las acciones en el registro de actividad
Se añadió una restricción sobre los cambios del lado del cliente a los permisos y configuraciones de su propio rol
Se corrigió un comportamiento de búsqueda incorrecto al añadir usuarios a una bóveda o carpeta
Se corrigió un problema que causaba que las pestañas «Historial de acciones» y «Ediciones» no aparecieran en ciertos escenarios
Se corrigió un problema que causaba que la descarga de archivos adjuntos de contraseñas fallara si los hashes no coincidían

Puede encontrar toda la información sobre las actualizaciones de Passwork en nuestra documentación técnica.

Configuración de notificaciones

Métodos de entrega de notificaciones

PIN en la extensión del navegador

Cómo funciona

Seguridad

Modo Zero knowledge

Mejoras

Corrección de errores

Otros cambios

Lecturas adicionales

Lanzamiento de Passwork 7.2

Notification settings

Notification delivery methods

PIN in browser extension

How it works

Security

Zero knowledge mode

Improvements

Bug fixes

Other changes

Further reading

Passwork 7.2 release

Quick takeaways

SMB cybersecurity: 2025 snapshot

SMBs are prime targets

Financial impact

Top threats in 2025

NIST cybersecurity framework

GOVERN: Establish your cybersecurity foundation

Step 1. Create a cybersecurity policy

Step 2. Conduct a risk assessment

Step 3. Address compliance requirements

Step 4. Consider cyber insurance

IDENTIFY: Know what you need to protect

Step 5. Inventory your hardware and software

Step 6. Classify your data

PROTECT: Implement your core defenses

Step 7. Secure your passwords

Step 8. Enforce Multi-Factor Authentication (MFA)

Step 9. Train your employees

Step 10. Secure your network

Step 11. Protect your endpoints

Step 12. Back up your data

Step 13. Control access to data

DETECT: Monitor for suspicious activity

Step 14. Monitor your systems

Step 15. Implement intrusion detection (For advanced SMBs)

RESPOND: Plan for a security incident

Step 16. Create an Incident Response (IR) plan

RECOVER: Ensure business continuity

Step 17. Develop a Business Continuity Plan (BCP)

Step 18. Test your recovery procedures

Frequently Asked Questions

How much should a small business spend on cybersecurity?

What is the most common cyber attack on small businesses?

Do I need cyber insurance?

What is the NIST Cybersecurity Framework?

How often should we conduct security training?

What should we do if we're hit by ransomware?

How do we know if our current security is adequate?

Conclusion

Further reading

Small business cybersecurity checklist for 2025

Einführung

Was ist Secrets Management

Warum Secrets Management wichtig ist

Passwork: Mehr als ein Passwort-Manager

API-first-Architektur

Zwei Produkte in einem

Automatisierungstools

Python-Connector

CLI-Dienstprogramm

Docker-Container

Wie Passwort-Rotation automatisiert wird

Sicherheit: Zero Knowledge und Verschlüsselung

Autorisierung und Tokens

Fazit

Weiterführende Lektüre

Passwork: Secrets Management und Automatisierung für DevOps

Introducción